Discussion :

[sam01]

Bonjour,
dans la nuit du 26 au 27 octobre, j'ai à nouveau un hack de mon site que j'avais pourtant sécurisé suite à plusieurs attaques il y a 2 ans.
L'attaque est toujours la même, 3 tables (et toujours les mêmes...) de ma database sont vidées. Et bien sûr, il y a ma table client.
quand ça m'est arrivé il y a 2 ans, j'ai repris toutes les requêtes de mon site (ma base de données est mysql) et je les PDOisées.
Du coup, plus d'attaques pendant presque 2 ans et là BIM!! ça recommence! J'ai demandé les logs à mon hébergeur pour cette nuit là, et j'ai trouvé ça de suspect (de là à dire que l'attaque vient de là...je ne sais pas).

118.123.11.138 - - [26/Oct/2018:23:45:36 -0400] "POST //plus/ad_js.php?aid=8888 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //plus/90sec.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //css.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //plus/mytag_js.php?aid=9090 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:38 -0400] "POST //siteweb.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:38 -0400] "POST //favicon.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:39 -0400] "POST //plus/laobiao.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:39 -0400] "POST //data/cache/asd.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:39 -0400] "POST //plus/result.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:40 -0400] "POST //plus/read.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:40 -0400] "POST //data/cache/flye.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:40 -0400] "POST //fuck.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:41 -0400] "POST //inc/config.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:41 -0400] "POST //config/AspCms_Config.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:41 -0400] "POST //test.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:42 -0400] "POST //admin/index.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:42 -0400] "POST //data/data.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:42 -0400] "POST //css.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:43 -0400] "POST //config/AspCms_Config.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:43 -0400] "POST //plus/moon.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:43 -0400] "POST //data/cache/coco.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"

pensez-vous que l'attaque puisse venir de cette adresse ip ? Si oui, comment a-t'il fait (injection mysql ?) et surtout la question qui tue : Comment m'en protéger ?

J'ai regardé l'adresse ip en questino, apparemment ça vient de chine, mais bon, suffit qu'il utilise un VPN et c'est mort !

[Invité]

bonjour,

1- il ne suffit pas d'utiliser PDO.
Encore faut-il que les requêtes soient correctement préparées.


2- Ça, ça ne sent pas bon... :

index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

[sam01]

salut,

ça signifie quoi exactement : ça ne sent pas bon ?

ça fait quoi exactement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

C'est une injection mysql ?

[Invité]

Voir : PHP eval()

eval — Exécute une chaîne comme un script PHP

Associé à un $_POST qui vient d'on ne sait où...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

index.php?q=.....

Tu récupères un paramètre "q" ?
Via un formulaire de recherche peut-être ?
Et donc avec une requête SQL ?



Comme on dit dans Kaamelott : "ça pue du q violent..."

[sam01]

bon ben ça m'avance pas trop tout ça...
Je ne sais toujours pas si c'est une injection mysql, est-ce c'est cette url qui a hacké mon site (vidé 3 de mes tables) ?
comment empêcher cela ?

[Invité]

Encore faut-il que les requêtes soient correctement préparées.

Que veux-tu qu'on te dise de plus ?
Si tu t'es fait "piraté", c'est que tu as une faille quelque part.

Tu as sûrement un traitement de formulaire défaillant, et une requête SQL non ou mal protégées.

...L'attaque est toujours la même, 3 tables (et toujours les mêmes...) de ma database sont vidées. Et bien sûr, il y a ma table client....

Si ce sont toujours les 3 mêmes tables, ça te donne une piste de recherche.
On ne peut pas chercher à ta place.

N.B. Et j'ai posé une question à laquelle tu n'as pas répondu.

[sam01]

salut, je pense avoir répondu à ta question, enfin, à celle de badaze, su tu parles bien du poste sur le forum php.

[sam01]

pour vérifier si la ligne suivante est bien suspecte,

index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

j'ai tapé l'url suivante, mais ça ne m'a pas vidé les table :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
www.swapnfly.fr/index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

j'ai même l'erreur suivante qui s'est affichée :

Not Implemented

GET to /index.php not supported.

Additionally, a 501 Not Implemented error was encountered while trying to use an ErrorDocument to handle the request.

[Invité]

Je parlais de cette question.

Tu récupères un paramètre "q" ?
Via un formulaire de recherche peut-être ?
Et donc avec une requête SQL ?

C'est a toi de faire ta propre enquête.
Nous, on n'a pas accès à ton code.

[sam01]

ben non, c'est ça qui est bizarre....
A aucun moment je ne récupère ce paramètre q .
mais comme je l'ai dit, quand je tape l'url avec le code suspecté :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

il me renvoie une erreur. Si c'était vraiment à ça, cela m'aurait vidé les tables.

[sam01]

je crois avoir trouvé mon code qui pue...
c'est un vieux truc que j'ai laissé, je ne sais même plus pourquoi je l'avais mis en place !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
if (!empty($_GET['table']))
{

	// on se connecte à MySQL 
	include ('connect_secure.php');

	$sqlt = $db->prepare("truncate table `x01_adherent`");
	$sqlt->execute();
	
	$sqlu = $db->prepare("truncate table `x01_logement`");
	$sqlu->execute();
	
	$sqlv = $db->prepare("truncate table `x01_photo`");
	$sqlv->execute();
	
	$sqlw = $db->prepare("truncate table `x01_destination`");
	$sqlw->execute();
	
	mysql_close();
	
	unlinkRecursive('G:\EasyPHP1-8\www\images\photo', false);

}

[sam01]

je viens de tester l'url :

http://www.swapnfly.fr/?table=''

et BINGO !!!

mes tables vidées.

[Invité]

MDR...

Il suffit d'écrire dans la barre d'adresse :index.php?table=xx, et ça y est : on efface tes tables !

Sérieux...


Cela dit, dans les log, on voit "...?q=....
Cherche encore.

Je suis sûr que tu vas encore trouver des "surprises"...

[sam01]

bon ben désolé pour tout ces dérangements, j'ai un peu honte
Mais franchement, je pense que si je n'avais pas posé la question, je n'y serais arrivé car tu m'as mis sur la piste quand tu m'as dit que le fait que uniquement certaines tables étaient vidées était un indice. J'ai cherché de ce côté là et ça a fonctionné.
Mais ça m'a quand même permis de voir qu'il y a des tentatives d'attaques sur mon site...

Merci à vous tous.

Je le mets en résolu du coup.