Discussion :

[randriano]

Bonjour,

Je parle d'URL vulnérables: monsite.com/index.php?page=xxxx
Ce n'est pas seulement vulnérable à la faille include mais aussi au "directory tranversal" qui permet au hacker de remonter vers des répertoires sensibles en utilisant ".."

L'include à distance fonctionne-t-il encore aujourd'hui? monsite.com/index.php?page=http://autre_site.com/page

Est-ce que include() teste l'extension du fichier qu'on lui fait inclure? car les pirates réussissent souvent à uploader un fichier image contenant du php qu'ils vont forcer à inclure

[grunk]

Bonjour,
L'include à distance fonctionne-t-il encore aujourd'hui? monsite.com/index.php?page=http://autre_site.com/page

Professionellement parlant j'ose espérer que non. Il me semble également qu'une directive du php.ini empêche l'utilisation d'url distante, donc il est fort probable que ce soit activer par défaut sur tous les mutualisé.

Est-ce que include() teste l'extension du fichier qu'on lui fait inclure?

Non tu peu inclure ce que tu veux. Tu peux faire du php avec des fichier .prout si ton serveur est configuré pour ^^

[randriano]

J'ai posté ce fil car je n'arrive pas jusqu'à maintenant à comprendre comme un hacker a pu uploadé des fichiers ELF Linux, Perl et PHP sur un site que je maintiens!

Le plus bizarre c'est qu'il arrive à remplacer mon index.php mais comment?

Le hacker:

[grunk]

Sympathique comme message...

Plusieurs solutions possible mais les plus probable :

- Un upload de fichier est disponible sur ton site et il n'est pas sécurisé correctement (mime type , csrf ...)

- Tes identifiants FTP on été volé , il y'a quelques temps un trojan existait qui utilisait filezilla. Il insérait un bout de JS à l'upload d'un fichier , ce JS envoyait les identifiant serveur vers un serveur distant...

- Faille XSS sur ton site ayant permis la récupération de cookie contenat des informations sur tes identifiants.

[randriano]

Sympathique comme message...

Plusieurs solutions possible mais les plus probable :

- Un upload de fichier est disponible sur ton site et il n'est pas sécurisé correctement (mime type , csrf ...)

Je ne crois pas que ce soit mes identifiants volés ni un vol de cookie (XSS), le premier tiret m'intrigue le plus!
Il y a effectivement des upload mais filtrés, seuls les fichiers .pdf, .xls ou .doc peuvent passer, bien sûr on peut uploader un fichier php à extension .pdf mais en principe on ne pourra pas l'exécuter! Sauf comment?

[pablofr]

Question :

- Tu utilise un CMS ?
- Est ce que tu vérifie uniquement le TypeMime quand tu upload un fichier en PHP ?
- Est ce que tu es sur un hébergement Mutualisé ?
- Quel est le propriétaire des derniers fichier uploadé ? et index.php

mais en principe on ne pourra pas l'exécuter

Pourquoi pas ?

Quel sont les droits dans le dossier où tu peux uploader ?

As-tu rajouter un .htaccess pour bloquer spécifiquement l'utilisation de php dans ce dossier ?

Si vraiment tu veux qu'on regarder envoi l'adresse de ton site en PM

A+