Discussion :

[lysandre]

Bonjour les gens,

Je recoit depuis deux jours des visites bizarres sur mon site, dont le 'HTTP_REFERER' (la page de provenance du visiteur) est quelque chose comme

http://www.psikolojikyardim.org/etki...ude/eto/nixaz/

donc assez bizarre et se terminant par des sous-dossiers. Il y a pas mal d'adresses différentes comme ca, et peu importe l'adresse que je choisit, elles m'affichent toutes dans le navigateur
"<?php echo md5("just_a_test");?>"

Est-ce que par hasard ca serait quelqu'un qui essaie de détecter les faiblesses de mon code pour pirater?

[_Mac_]

Ca y ressemble, en effet

[lysandre]

Je me disais qu'ils testaient si par hasard j'ai dans mon code un eval qui exécute leur "<?php echo md5("just_a_test");?>"
Est-ce que ca pourrait être ca et est-ce qu'il y a un risque etant donné que je n'utilise aucun "eval" (et de toute facon si j'en utilisais j'aurais nettoyé les données)

[lysandre]

C'est marrant ils testent mon site en mettant les urls en question (qui affichent "<?php echo md5("just_a_test");?>") dans un des paramètres GET de mon site. Mais qu'est-ce cela peut faire? Même si mes données GET sont mal nettoyées, l'url de leur page ne peut rien faire? il faudrait vraiment que j'utilise le paramètre get pour faire un include pour que cela soit dangereux...?

[Tommy31]

Voir : http://nazgum.wordpress.com/2008/01/28/158/

[_Mac_]

il faudrait vraiment que j'utilise le paramètre get pour faire un include pour que cela soit dangereux...?

Oui, je pense, je ne vois pas l'intérêt sinon. Ca peut être un include mais peut-être aussi n'importe quelle fonction acceptant des URL comme paramètre (readfile par exemple). Il faut que, si tu utilises ces fonctions, tu ne passes pas en paramètre directement un paramètre d'URL ou POST.

[lysandre]

Voir : http://nazgum.wordpress.com/2008/01/28/158/

Merci Tommy pour le lien. C'est marrant c'est un virus qui attaque les sites! enfin marrant façon de parler
Merci pour tes conseils Mac, mes données POST/GET/COOKIE sont normalement bien nettoyées et je n'y passe pas d'url.
Les attaques ont arrêté alors je suppose que le virus a du se rendre compte que chez moi ca passe pas (ou bien il a réussi a passer si jamais j'ai une faille...va falloir tout de même que je vérifie)