Discussion :

[rogerlenoir]

Bonjour,
Je m'occupe d'un site que je n'ai pas développé.
Ce site vient d'être attaqué via une injection SQL présente dans un fichier.
et de plus les mots de passe n'étaient pas cryptés dans la base de donnée.

Par ailleurs les fichiers PHP ont tous été effacés du serveur qui les hébergeait.

Bon on va remonter tout ça, maintenant qu'on sait qu'il y a une faille on va la corriger...
et puis on va crypter les mots de passe et faire quelques vérifications d'usage.

Mais comme je suis pas un cador il y a plein de choses que je ne sais pas.
Entre autre :
Comment fait-on à partir de la base de donnée pour effacer le site sur le ftp.

Et comme je ne sais pas, ça risque de nous arriver encore une fois.
Si quelqu'un peut m'expliquer la manip mais surtout la riposte je le remercie d'avance...


Merci et à bientôt

ps si cela est nécessaire j'ai les logs qui correspondent à l'attaque)

[NoSmoking]

Bonjour,
je ne doute pas de ta bonne fois mais il important de comprendre que ce genre de question et la réponse qui pourrait y être associé serait à la limite du hacking et donc illégale.

Je t'engages fortement à lire les cours sur ce sujet
http://web.developpez.com/cours/deve...ivers#securite

[rogerlenoir]

Merci NoSmoking,

je vais suivre le lien et lire attentivement.

Juste pour poursuivre la discussion l'information que je demande n'est pas illégale et elle devrait se trouver dans tous les bons manuels de programmation web.
Tout au plus c'est l'utilisation malhonnête de cet information qui serait illégale.
Par ailleurs je doute que les gamins qui ont hacké le site en question aient un quelconque besoin de formation, à mon avis ils l'ont déjà ...

De plus, pour un innocent (dans tous les sens du terme) comme moi, trouver la bonne info c'est le parcours du combattant.
Par contre si j'étais un hacker, je ferai parti d'un réseau et je n'aurai qu'à poser la question aux membres de mon team pour arriver à des fins aussi peu subtiles que les attaques dont je parle.


Pour finir, et pour qu'il n'y ait aucun doute sur la première phrase de ma réponse : mes remerciement sont vraiment sincères et je suis reconnaissant envers tous les modérateurs qui passent du temps à assurer le bon fonctionnement de ce forum.

Patrick

[rogerlenoir]

Au fait, Puisque je tiens le clavier, je vourdrai poser juste une question qui demande une réponse par oui ou par non:

Est-ce que le hacker est passé par la base de donnée pour effacer les fichiers, ou est que qu'il y avait une faille possible du coté du ftp (par exemple même mot de passe et même login que ceux utilisés pour la connexion à la base) ?

Merci d'avance

[bretus]

Est-ce que le hacker est passé par la base de donnée pour effacer les fichiers, ou est que qu'il y avait une faille possible du coté du ftp (par exemple même mot de passe et même login que ceux utilisés pour la connexion à la base) ?

Le hacker est passé par là où tu ne l'attendais pas... Vu le niveau de gravité des failles que tu évoques, il n'est pas impossible que tu te retrouves avec d'autres failles.

Le plus probable pour qu'il ait pu supprimer des fichiers, c'est qu'il soit parvenu à exécuter du code PHP à ton insu.

Il n'y aurait pas des upload mal contrôlé sur ce site pour couronner le tout? Du style, tu t'attends à ce que les utilisateurs upload des images, ils peuvent uploader des fichiers .php?

[rogerlenoir]

Merci Bretus,

Me voilà un peu plus informé,
pour l'instant nous avons demandé au précédent développeur de corriger les failles de type injection, d'implanter un hashage des mots de passe

Une fois cela fait je vérifierai d'autres points tels que celui que tu énonces auquel je n'avais pas pensé. Donc doublement merci.

Plus je réfléchi, plus je me dis qu'il doit-être possible de provoquer l'effacement des fichiers à partir de la base de donnée.
Mais là ce serait la faille de saint Andréas

Est-ce que ça vaut le coup que je passe des heures pour me prouver que c'est possible, ou est-ce que je me trompe complètement et que la suppression des fichiers ne peut-être due que par exécution du php comme Bretus le suggère ?

Patrick