securiser un dossier d administration

[ozarus]

Bonjour à tous,

voici mon premier post sur ce forum, j'ai passé pas mal de temps a éplucher le site et d'autres pour trouver une solution à mon problème, je ne sais à vrai dire par ou commencer. Alors je me permets de poster ici, peut etre que vous allez me rediriger vers les bons posts ou les bons tutos.

Donc voilà, je suis débutant, j'ai fait un site web qui s'est fait attaquer à plusieurs reprises et je tente du coup de chercher la faille qui se trouve dans la partie administration de mon site. En gros le site est construit de cette manière :

à la racine le site est "monsite.fr";

la partie administration de mon site se trouve dans un dossier qui se nomme administration: "monsite.fr/administration/"
il est protégé par un htacces/htpasswd, une fois le login et paswd bon, on tombe sur la page index du dossier : "monsite.fr/administration/index.html"

dans cette index.html on a plusieurs lien qui amène vers les différentes page d'administration du site, ces liens sont mis dans un tableau du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<table>
<tr>
<td>
	<ul>
		<li><a href="admin_default.php">ACCUEIL</a></li><br><br>
		<li><a href="admin_partie1.php">PARTIE 1</a></li><br><br>
		<li><a href="admin_partie2.php">PARTIE 2</a></li><br><br>
		<li><a href="admin_partie3.php">PARTIE 3</a></li><br><br>
		<li><a href="admin_partie4.php">PARTIE 4</a></li><br><br>
		<li><a href="admin_partie5.php">PARTIE 5</a></li><br><br>
		<li><a href="admin_partie6.php">PARTIE 6</a></li><br><br>
	</ul>
</td>
</tr>
</table>

Est-ce que vous trouver que la méthode est mauvaise ? (nom du dossier, affichage des liens des pages admin dans le html)
qu'est-ce que je dois revoir ?
comme vous le voyez j'ai pas fait d'include, vu qu'apparamment c'est souvent vers la que se pose le probleme.

Merci d'avance pour vos reponses, suggestions et aides.

cordialement

[martialuk]

Tu es sûr que ton .htaccess et .htpasswd est bien configuré par rapport à ton serveur web, parce que si c'est le cas, c'est bizarre quand même. C'est une des meilleures protections d'accès.

Si tu veux, fais nous une copie içi du .htaccess

[ozarus]

bonsoir,

le .htaccess est de ce type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthName "Page d'administration protégée"
AuthType Basic
AuthUserFile "/home.10.17/blabla/www/monsite/administration/.htpasswd"
Require valid-user

et le .htpasswd du type :

login:$***************

et a priori ca marche dans la mesure ou si je tente d'aller sur la page admin, je dois effectivement m'identifier.
Mais qu'entends-tu par bien configurer par rapport au serveur ?

Sinon j'ai entendu dire que mettre l'accès à l'administration par le biais d'un fichier du genre 'admin.php' voire par un dossier que l'on nomme 'admin' ou 'administration' peut être trop évidement pour les hackers. Ceci dans la mesure où ces derniers peuvent en effet trouver aisément la partie 'admin' d'un site qu'ils veulent attaquer. On me dit que pour régler le problème il faut que je renomme mon dossier "administration" en quelque chose d'illisible dont seul l'administrateur connait le nom. Qu'en penses-tu ?

merci encore,

ozarus

[martialuk]

Ton .htaccess me parait correct.

Je te conseille juste d'ajouter ceci, même si logiquement çà n'influence pas trop:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<files .htaccess>
Deny From All
</files>

Ensuite tu peux effectivement renommer le dossier d'administration.

Mais qu'entends tu par hacker? Tu sais ce qu'ils ont fait et comment ils sont rentrer?

[ozarus]

Je ne sais pas du tout comment ils ont fait mais en tout cas voilà les symptômes et surtout le mail que j'ai reçu qui détaille les opérations qu'ils ont essayé de faire:

1) en tentant d'acceder au site, j'obtiens ce message :
403 Forbidden
Forbidden
You don't have permission to access / on this server.

2) l'hebergeur m'envoie plusieurs mails du type suivant (a chaque fois que je me fais attaquer en fait) :
>Bonjour,
>
> Notre système de surveillance (Okillerd) a détecté une opération
> irrégulière au niveau de votre site.
>
> Les détails de cette opération sont les suivants :
>
> monnomdedomaine.com
>
> Problème rencontré : Hidden PERL script
> Commande apparente : /usr/local/apache/bin/httpd -DSSL
> Exécutable utilisé : /usr/bin/perl
> Horodatage: Mon Jan 7 19:06:14 CET 2008
>
[>(autre operation illegale)
>Problème rencontré : prog launched from tmp directory
>Commande apparente : -bash
>Exécutable utilisé : /var/tmp/update (deleted)
>Horodatage: Sun Jan 6 21:13:50 CET 2008]
>
> Ceci n'est pas autorisé sur nos installations,
> car c'est une tentative potentielle de piratage.
>
> Si ce n'est pas vous qui avez lancé ce script, cela signifie
> qu'il y a une faille sur votre site et qu'un hacker s'en
> est servi pour réaliser cette opération.
>
> Nous avons désactivé l'accès web temporairement pour éviter tout
> risque de nouveau piratage.
>
> ............
>
> Contactez notre support si vous ne parvenez pas à rouvrir l'accès
> web par vous-même. Notez que les équipes du support ne peuvent pas
> rechercher l'origine du problème pour vous, mis à part dans le
> cadre d'une opération payante d'infogérance.
>
> Amicalement
> L'équipe d'ovh
>


et


3) en me connectant sur le ftp je trouve 2 fichier pas très clair sorti de nul part dans mon dossier administration: error_log.php et thumbs.php ils font chacun 151ko et quand je les affiche pour voir, ce sont deux formulaires du type login/passwd et biensur je les ai supprimé.

[martialuk]

Salut à toi,

je peux désormais te rassurer donc, ton site internet n'a pas été attaqué.

Ce message que tu as reçu de la part d'OVH est un mail automatique qui est envoyé par nos serveurs lorsque l'activité de ton site est très élevé sur nos serveurs de fichiers.

Celà signifie en réalité que c'est un de tes scripts (probablement en PHP) qui pose problème. En clair, un de tes scripts fait des transferts massif de fichiers depuis un serveur externe vers le serveur de fichier OVH. (Un script comme Net2Ftp provoque généralement ce genre d'erreur.)

Si tu as par exemple un formulaire d'envoi de fichiers, quelqu'un peut également se servir de ce formulaire de façon massive pour télécharger des fichiers dont la taille totale excède 100 Mo.

Enfin bref, à toi maintenant de découvrir quel est le script qui pose problème et le corriger. Mais en tous cas, tu n'as rien à craindre au niveau de ton accès gérer par .htaccess

Cordialement.

[ozarus]

Merci pour ta reponse Martialuk,

en regardant mon code de plus près je ne vois que le fckeditor qui pourrait poser un problème, car je permet a l'administrateur en effet d'uploader des images, j'vais essayer de corriger ca,

merci encore ;-)

[_Mac_]

Effectivement, les sources de piratages sont souvent celles-ci :

• Login et mots de passe d'administration trop simples (genre, éviter "admin" et "administrateur" comme login, etc.)
• Fichier contenant les mots de passe non ou mal protégé
• Formulaires de login ou pages non ou mal protégées, mais ce n'est pas ton cas grâce au .htaccess. Cela concerne surtout les pages protégées par les sessions et un formulaire HTML d'authentification.
• Ton site possède une page permettant de faire un upload de fichiers. Dans ton cas, c'est peut-être fckeditor. Dans ce cas, pour limiter l'utilisation de cet outil, vu qu'il ne doit être utilisable que par des administrateurs, mets ses fichiers dans un sous-répertoire du répertoire "administration".
• Pour les mails (spams provenant de ton site), ton formulaire permet d'indiquer une adresse email et/ou le titre du mail et tu ne vérifies pas que ces champs avant l'envoi.

Il faut le savoir, la plupart des cas de piratage viennent de l'interne. Si tu connais les administrateurs (ceux qui peuvent accéder aux pages d'admin), ça ne doit pas être eux. En revanche, si tu as un site communautaire ou pas mal de gens (que tu ne fréquentes pas forcément) peuvent s'inscrire, ça peut venir de là. Exemples typiques : fichier de mot de passe non ou mal protégé et upload de fichiers. Généralement, je mets les fichiers de mot de passe dans un sous répertoire protégé par un .htaccess contenant un Deny From All. Comme ça, je sais que ce fichier de mot de passe n'est pas accessible par le web, seulement par moi-même en FTP. Idem, n'appelle pas ton fichier .htpasswd : c'est un nom trop courant pour un fichier de mots de passe Pour l'upload de fichiers, il faut que ton script d'upload vérifie les fichiers envoyés et qu'il ne les mette que dans un ou des répertoires bien contrôlés.