Discussion :

[malipalo]

Effectivement, j'ai toujours 200 dans les logs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
55.56.57.58 - - [17/Dec/2009:10:40:26 +0100] "GET /index.php?pConfig_auth[phpbb_path]=http://monsite.ch/niania.txt? HTTP/1.1" 200 68 "-" "Mozilla/5.0"
 
55.56.57.58 - - [17/Dec/2009:10:58:34 +0100] "GET /index.php?mosConfig_absolute_path=http://monsite.ch/ HTTP/1.1" 200 68 "-" "Mozilla/5.0"
 
55.56.57.58 - - [17/Dec/2009:11:43:34 +0100] "GET /index.php?pConfig_auth[phpbb_path]=http://monsite.ch/esp/niania.txt? HTTP/1.1" 200 60 "-" "Mozilla/5.0"

J'ai fais du faire une erreur, j'ai juste ajouté la ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
header('HTTP/1.0 404 Not Found');
header('Content-type: text/html; charset=utf-8');
function rfi_gohome (){
// Capture la ligne de commande avant son exécution
	$CAPT_RFI = $_SERVER["REQUEST_URI"];
        //mon script...
}
rfi_gohome();
?>

[_Mac_]

Franchement bizarre. Tu es vraiment sûr que ton script est bien appelé ?

[malipalo]

Oui car je poste un e-mail à la fin du script avec la valeur trouvée.

Mail :
Le piège RFI à bloqué le paramètre : mosConfig_absolute_path provenant de l'adresse IP : 55.56.57.58 Domaine : 55.56.57.58.cust.bluewin.ch


Il est forcément passé car le mail est envoyé à l'arrêt de la boucle For
quand le process est terminé, qu'il à trouvé sa valeur dans ma List.
alors il exécute

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

die('Hack tentative !');

à la fin du script et il affiche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
T'est un RFI en texte toi !
Hack tentative !

[malipalo]

Je vais bosser un peu sur les paramètres header() ou j'ai des lacunes et de toute manière je dois y passer pour résoudre mon problème.

Si nécessaire voir les docs du forum sur le sujet etc...

[malipalo]

Quand je tape une adresse d'url inexistante, par exemple
http://www.monsite.ch/page_inexistante.php

J'ai un retour du serveur : No input file specified.
Et une trace dans mon log Apache error_log :
error] [client 55.56.57.58] File does not exist: /u/web/monsite/page_inexistante.php

J'ai créé un fichier index.php ou j'ai testé chaque valeur, mais sans résultat dans le log access_log d'Apache ni 404, ni même 503, que des 200.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
header('HTTP/1.1 404 Not Found');
header('HTTP/1.1 503 Service Temporarily Unavailable');
?>

[_Mac_]

C'est super étrange. Tu peux redonner ton .htaccess ?

Pour ton test avec page_inexistante.php, c'est la directive ErrorDocument qui doit être utilisée pour afficher une page d'erreur personnalisée. Ce ErrorDocument doit figurer dans le .htaccess qui est à la racine du site, et tu dois voir des 404 dans logs d'Apache. Si tu n'as pas de 404, y a un souci avec Apache mais je ne vois pas lequel, hormis un pb dans le .htaccess.

A tout hasard, essaie de jouer avec l'option MultiViews dans le .htaccess à la racine de ton site :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Options +MultiViews

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Options -MultiViews

Essaie successivement les 2 et fais des tests, des fois que ça corrige le problème.

[malipalo]

Voilà tout le fichier .htaccess racine du site.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
 
## START PHP
AddType application/x-httpd-php .php
Action application/x-httpd-php /cgi-bin/php5.cgi
## STOP PHP
<IfModule mod_rewrite.c>
Order Deny,Allow
Allow from all
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [NC]
RewriteCond %{HTTP_USER_AGENT} ^BackWeb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Bandit [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^BatchFTP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^BecomeBot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [NC]
RewriteCond %{HTTP_REFERER} \.opendirviewer\. [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{HTTP_REFERER} users\.skynet\.be.* [NC,OR]
RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{REQUEST_URI} owssvr\.dll [NC,OR]
RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Sucker [NC]
RewriteRule . abuse.txt [L]
RewriteCond %{HTTP_HOST} forum.monsite.ch
RewriteCond %{REQUEST_URI} !^/forum/fsb
RewriteRule (.*) /forum/fsb/$1 [L]
RewriteCond %{HTTP_HOST} monsite1.ch
RewriteCond %{REQUEST_URI} !^/monsite1
RewriteRule (.*) /monsite1/$1 [L]
RewriteCond %{HTTP_HOST} monsite2.ch
RewriteCond %{REQUEST_URI} !^/monsite2
RewriteRule (.*) /monsite2/$1 [L]
RewriteCond %{HTTP_HOST} esp.monsite.ch
RewriteCond %{REQUEST_URI} !^/esp
RewriteRule (.*) /esp/$1 [L]
</IfModule>

Celui du dossier redirigé /esp/.htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} !esp.monsite\.ch [NC]
RewriteRule .* - [F]
</IfModule>

le script php /esp/index.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
<?php
header('Content-type: text/html; charset=utf-8');
header('HTTP/1.1 404 Not Found');
include('../inc/fonction.php');
rfi_gohome ();
echo '
<html>
<head>
<title>Espace ESP</title>
<meta http-equiv="pragma" content="no-cache">
...
';
?>

fonctions.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
 
...
function vilainrfi($clean)
{
		$ip = getIp();
		$domaine = @gethostbyaddr($ip) or ($domaine = 'IP non résolue');
		$contenu = 'Le piege RFI a bloque le parametre : '.$clean.' provenant de l\'adresse IP : '.$ip.' '.'Domaine : '.$domaine.' '.'';
		mail("no_friend@monsite.ch", "Piege RFI a bloque le parametre :".$clean." sur le site www.monsite.ch", $contenu, "From: no_friend@monsite.ch\r\nReply-To:no_friend@rap-tor.ch\r\nMIME-Version: 1.0\r\nContent-Type: text/html; charset=\"utf-8\"\r\n");
		die('Hack tentative !');
}
 
function rfi_gohome ()
{
		// Capture la ligne de commande avant son exécution
		$CAPT_RFI = $_SERVER["REQUEST_URI"];
		$nbr = 0;
		$binary[] = "\x09_page_\x0A";
		$binary[] = "\x09content\x0A";
		$binary[] = "\x09mosConfig_absolute_path\x0A";
		$binary[] = "\x09id.txt\x0A";
		$binary[] = "\x09.txt???\x0A";
		$binary[] = "\x09.txt\x0A";
		$binary[] = "\x09.gif?\x0A";
		$binary[] = "\x09???\x0A";
		$binary[] = "\x09??\x0A";
		$binary[] = "\x09.php?id=\x0A";
		$binary[] = "\x09phpbb3.functions.php\x0A";
		$binary[] = "\x09pConfig_auth\x0A";
		$binary[] = "\x09[phpbb_path]\x0A";
		$binary[] = "\x09?error=\x0A";
		$binary[] = "\x09index.html%20\x0A";
		$binary[] = "\x09%20//index.html\x0A";
		$binary[] = "\x09index.html%20\x0A";
		$binary[] = "\x09?_SERVER[\x0A";
		$binary[] = "\x09../\x0A";
		$binary[] = "\x09authentication\x0A";
		$binary[] = "\x09&mode=id\x0A";
		$binary[] = "\x09_REQUEST=&_REQUEST%5boption%5d\x0A";
		$binary[] = "\x09GALLERY_BASEDIR\x0A";
		$binary[] = "\x09?source\x0A";
		$binary[] = "\x09/site\x0A";
		$binary[] = "\x09?id=../../\x0A";
		$binary[] = "\x09../proc/self/environ\x0A";
		$binary[] = "\x09?sub\x0A";
		$binary[] = "\x09*.php?\x0A";
		$binary[] = "\x09.php?id=\x0A";
		$binary[] = "\x09_REQUEST\x0A";
		$binary[] = "\x09%5\x0A";
		$binary[] = "\x09boption\x0A";
		$binary[] = "\x09com_content\x0A";
		$binary[] = "\x09bItemid\x0A";
		$binary[] = "\x09GLOBALS\x0A";
		$binary[] = "\x09?setup\x0A";
		$binary[] = "\x09[use_category]\x0A";
		$binary[] = "\x09&dir=\x0A";
		$binary[] = "\x09include_path\x0A";
		$binary[] = "\x09?option=\x0A";
		while ($nbr <= 41)
		{
				$clean = trim($binary[$nbr++], "\x00..\x1F");
				if (strpos($CAPT_RFI, $clean) !=0) {echo 'T\'est un RFI en texte toi !<br />'; vilainrfi($clean);}
		}
}

[_Mac_]

Je ne vois pas trop où pourrait être le problème. Essaie en inversant les deux lignes header dans index.php (histoire que header("HTTP/..."); soit la première ligne du script) et essaie aussi avec les Options +-MultiViews.

[malipalo]

J'ai inversé les header, l'Options +MultiViews ou Options -MultiViews.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<IfModule mod_rewrite.c>
Order Deny,Allow
Allow from all
RewriteEngine On
Options +MultiViews
...

Même quand je mets un mauvais mot de passe à dossier
protégé par .htaccess avec user/password il y a un 200.

Par contre j'ai immédiatement dans error_log
[Fri Dec 18 14:50:46 2009] [error] [client 55.56.57.58] user toto: authentication failure for "/esp/toto/": password mismatch.

Et dans le fichier access_log :
55.56.57.58 - esp [18/Dec/2009:14:50:37 +0100] "GET /toto/ HTTP/1.1" 200 409 "-" "Mozilla/5.0"

Le seul que je vois dans mes logs est un 304 lorsque je lance aedituus une ligne sans rapport avec mon problème le log:
18/Dec/2009:12:47:25 +0100] "GET /piware/aedituus/template/images/mur.jpg HTTP/1.1" 304

De plus, il n'est pas actif dans ce dossier, j'ai modifié le script index.php, même supprimé les include, tout est dedans pour être sûr que rien d'autre n'interfère. Seulement un .htacces et un index.php dans le dossier.

ce peut-être mon provider qui gère la partie 404 ?

[_Mac_]

Non, si le statut était 404 en sortie d'Apache, tu aurais 404 dans les logs, pas 200.

Ce que je ne vois pas dans tes .htaccess c'est comment tu arrives à appeler index.php avec une URL du style toto.php : je vois juste que toto.php est réécrit en tant que /esp/toto.php et c'est tout.

[malipalo]

Mille excuses je me suis mal exprimé.
J'ai créé un dossier avec .htaccess .htpassword et un fichier index.php vide.
fichier .htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
AuthUserFile /u/web/monsite/esp/toto/.htpasswd
AuthGroupFile /dev/null
AuthName Protected Area
AuthType Basic
 
<Limit GET POST>
require user toto
</Limit>

J'ai tenté d'accéder avec un mauvais password au dossier pour regarder le logfile, il contenait dans mes lignes précédentes. un code 200.
et une ligne dans error_log
authentication failure for "/esp/toto/": password mismatch.
pas d'autres codes d'erreurs dans access_log

[malipalo]

Je garde mes logs depuis x mois. Et j'ai vérifié j'ai bien des 404 des 403 etc.. Enfin tout vous avez raison.

Par contre mon script cherche une variable, si il ne la trouve pas il post un mail et affiche une "pseudo erreur" car en réalité, c'est le header qui l’indique 404.

Si j'essaye plutôt de rediriger vers un fichier qui n'existe pas réellement plutôt que de fausser le header, j'aurais réellement mon 404.
Avec par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("Location: ../inexistant.php");

Le script ne trouvera pas le fichier, et l’erreur devrait apparaître dans access_log,
Je suppose, je vais tester.

[malipalo]

Négatif j'ai toujours un 200

J'ai supprimé toute les lignes, sauf les redirections de mon .htaccess racine.

Je recommence mes tests, il y a forcément quelque chose que j'ai manqué.

[malipalo]

J'ai trouvé le problème, c'est le navigateur Mozilla que j'utilise pour mes testes !

Internet Explorer renvoie bien un 403 ou 404, je les ais dans ma fenêtre.
Quand j'écris dans l'entête.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header("HTTP/1.0 404 Not Found");

ou mieux

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
header("HTTP/1.1 403 Forbidden");
header("Cache-Control: no-cache, must-revalidate");
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Content-type: text/html; charset=utf-8");
...

Mais pas Mozilla firefox, je suis sur une version 3.6 beta 5 et je suppose que c'est la mon problème, il exécute après le mail.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

die("<b>403 Forbidden !</b>");

Je l'ai placé à la fin du code.

Donc je vais trouver un 404 dans mes logfiles pour explorer et un 200 pour mozilla.

[_Mac_]

C'est super pas normal : Apache ne doit pas tenir compte du navigateur pour savoir s'il doit renvoyer une erreur 404 ou 200 !!! Ca veut dire que FF et IE ne demandent pas la même chose au serveur. Il faudrait que tu traces l'enchaînement complet des requêtes faites par IE et par FF pour voir quelle est la différence. Mais ce comportement n'est clairement pas logique : Apache ne fait pas de clientélisme !

[malipalo]

Merci pour la réponse, j'ai vu sur le forum qu'il y avait une liste de super librairies java.
Vous me suggérez une en particulier, pour tracer l'enchaînement de mes requêtes, sinon y a-t-il une solution plus simple ?

Je dois attendre une heure pour un nouveau log d'apache, c'est vrai que c'est un peux long comme temps d'attente pour chaque test.

[_Mac_]

Utilise Wireshark : c'est un sniffer réseau

[malipalo]

Merci pour le conseil je vais tester avec cet outil.

J'ai observé dans le access_log que IE et FF me renvoie bien une page d'erreur 403.
Lorsque je tente d'accéder à un de mes dossiers du sous-domaine via l'adresse du site racine.

Ceux que j'ai volontairement redirigés via les règles mise en place précédemment avec .htaccess à ce niveau là, les règles fonctionnent bien des deux côtés j’ai un 403.

[malipalo]

Bonjour Mac,

Milles excuses si je n'ai pas donné suite à notre discussion.

Je suis un heureux papa et j'ai une magnifique petite fille depuis le 2 janvier 2010. Elle me prend beaucoup de temps et j'ai dû donner le tour pour trouver un peu de temps afin de revenir sur le forum.

J'ai eu l'occasion de tester l'outil Wireshark, il est vraiment très bien, et je vais étudier ces nombreuses fonctions. Merci Je n'ai pas encore résolu mon problème précédent mais j'y travail.

J'ai une question importante en rapport avec la sécurité de mon site.
Celui-ci est en faite un espace membre (aedituus) qui intègre un album photo.

Malgré les diverses fonctions htaccess et entre autre le hotlinking que j'ai mise en place.
Ont ne peu plus accéder au dossier. mais il y a toujours la possibilité d'un accès direct à mes photos via un lien du style.

Un exemple :
http://www.monsite.ch/album/photos/album_1/P1010015.JPG

Je voudrais recevoir un message d'erreur si la ligne ci-dessus est tapée.
et pas si une page de l'aedituus y accède.

Existe-t-il une solution .htaccess pour résoudre mon problème ?

[_Mac_]

Toutes mes félicitations !

Aucune idée, je ne connais pas aedituus. Crée un nouveau fil de discussion pour ce problème, il est différent de celui sur lequel on travaille ici, si tu veux bien.