Discussion :

[xzéna]

bonjour,
je sais pas franchement où postuler mon problème.mais puisque c'est du PHP alors je croix c'est convenable ici..
Bon,dernièrement beaucoup de sites ont été hackés par certains hackers! on dirait des diables >.< alors mes 2 sites ont été parmi les victimes..
mes questions donc c'est comment se comporter face à tel attaque?faut reprogrammer à nouveau mon site ?si oui il faut modifier quoi au juste?changer quoi?..
surtout si y a des indications précis pour me concentré sera très gentil et merci pour tout aide.

[Benjamin Delespierre]

Hello

Y'a pas de solution magique contre le piratage, la sécurité informatique c'est par définition du cas par cas.
Néanmoins, voici quelques écueils qu'il faut à tout prix éviter:

• empêcher les attaques par injection (http://fr.wikipedia.org/wiki/Injection_SQL)
• > en sécurisant les données en entrée
• > et en utilisant des requêtes préparées
• se prémunir du vol de session (https://www.owasp.org/index.php/Session_fixation)
• bien vérifier les fichiers uploadés par les utilisateurs
• > et si possible des mettre dans un répertoire inaccessible

Il faut toujours considérer que l'utilisateur c'est le mal.Et dans ton système, la base de données c'est l'utilisateur, donc la base de données c'est le mal.
Il systématiquement tout vérifier. L'usage des filtres est une bonne pratique dans cette optique.

Enfin, il faut tenir PHP et Apache à jour pour éviter les failles. Pour constater une faille ou une faiblesse rien ne vaut une consultation régulière des logs d'accès. Il ne faut pas hésiter à bloquer les IP qui ont utilisés des URL louches.

Pour ma part, je considère que la plupart des sites sont vulnérables aux injections SQL.

[xzéna]

ok merci pour ta réponse.
alors j'ai pris ça en charge et j'ai re-hébergé le site.mais toujours le même problème.
Cad:dès que mon site s'ouvre il se redirige toujours vers un autre lien qui contient le msg du hacker.
je sais pas là quoi faire :s

[stealth35]

http://php.net/manual/fr/security.php

[Benjamin Delespierre]

T'as été victime d'une attaque XSS à tous les coups (sûrement dûe à une faille d'injection SQL).

La seule solution dans ce cas c'est d'aller purger la base de données à la main.

[xzéna]

http://php.net/manual/fr/security.php

oui merci j'ai consulté déjà le lien.et j'ai ajouté quelques fonctions au niveau de code pour éviter les injections sql.mais la redirection est toujours opérationnelle :s


@Benjamin :cad la vider et importer mon ancienne version qui était non-online ? ou bien en enlevé quelque chose précis ?

Merci pour les explications.

[SpaceFrog]

jette un oeil dans ton htaccess ...