hack de mon site

**sam01** · 29/10/2018, 18h21

Bonjour,
dans la nuit du 26 au 27 octobre, j'ai à nouveau un hack de mon site que j'avais pourtant sécurisé suite à plusieurs attaques il y a 2 ans.
L'attaque est toujours la même, 3 tables (et toujours les mêmes...) de ma database sont vidées. Et bien sûr, il y a ma table client.
quand ça m'est arrivé il y a 2 ans, j'ai repris toutes les requêtes de mon site (ma base de données est mysql) et je les PDOisées.
Du coup, plus d'attaques pendant presque 2 ans et là BIM!! ça recommence! J'ai demandé les logs à mon hébergeur pour cette nuit là, et j'ai trouvé ça de suspect (de là à dire que l'attaque vient de là...je ne sais pas).

118.123.11.138 - - [26/Oct/2018:23:45:36 -0400] "POST //plus/ad_js.php?aid=8888 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //plus/90sec.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //css.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //plus/mytag_js.php?aid=9090 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:37 -0400] "POST //index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:38 -0400] "POST //siteweb.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:38 -0400] "POST //favicon.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:39 -0400] "POST //plus/laobiao.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:39 -0400] "POST //data/cache/asd.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:39 -0400] "POST //plus/result.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:40 -0400] "POST //plus/read.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:40 -0400] "POST //data/cache/flye.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:40 -0400] "POST //fuck.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:41 -0400] "POST //inc/config.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:41 -0400] "POST //config/AspCms_Config.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:41 -0400] "POST //test.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:42 -0400] "POST //admin/index.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:42 -0400] "POST //data/data.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:42 -0400] "POST //css.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:43 -0400] "POST //config/AspCms_Config.asp HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:43 -0400] "POST //plus/moon.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"
118.123.11.138 - - [26/Oct/2018:23:45:43 -0400] "POST //data/cache/coco.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2)"

pensez-vous que l'attaque puisse venir de cette adresse ip ? Si oui, comment a-t'il fait (injection mysql ?) et surtout la question qui tue : Comment m'en protéger ?

J'ai regardé l'adresse ip en questino, apparemment ça vient de chine, mais bon, suffit qu'il utilise un VPN et c'est mort !

Invité · 29/10/2018, 18h33

bonjour,

1- il ne suffit pas d'utiliser PDO.
Encore faut-il que les requêtes soient correctement préparées.

2- Ça, ça ne sent pas bon... :

index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

**sam01** · 29/10/2018, 20h12

salut,

ça signifie quoi exactement : ça ne sent pas bon ?

ça fait quoi exactement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

C'est une injection mysql ?

Invité · 29/10/2018, 20h39

Voir : PHP eval()

eval — Exécute une chaîne comme un script PHP

Associé à un $_POST qui vient d'on ne sait où...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

index.php?q=.....

Tu récupères un paramètre "q" ?
Via un formulaire de recherche peut-être ?
Et donc avec une requête SQL ?

Comme on dit dans Kaamelott : "ça pue du q violent..."

**sam01** · 30/10/2018, 10h19

bon ben ça m'avance pas trop tout ça...
Je ne sais toujours pas si c'est une injection mysql, est-ce c'est cette url qui a hacké mon site (vidé 3 de mes tables) ?
comment empêcher cela ?

Invité · 30/10/2018, 19h04

Je parlais de cette question.

Envoyé par jreaux62

Tu récupères un paramètre "q" ?
Via un formulaire de recherche peut-être ?
Et donc avec une requête SQL ?

C'est a toi de faire ta propre enquête.
Nous, on n'a pas accès à ton code.

**sam01** · 30/10/2018, 19h58

ben non, c'est ça qui est bizarre....
A aucun moment je ne récupère ce paramètre q .
mais comme je l'ai dit, quand je tape l'url avec le code suspecté :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

il me renvoie une erreur. Si c'était vraiment à ça, cela m'aurait vidé les tables.

Invité · 30/10/2018, 10h39

Envoyé par jreaux62

Encore faut-il que les requêtes soient correctement préparées.

Que veux-tu qu'on te dise de plus ?
Si tu t'es fait "piraté", c'est que tu as une faille quelque part.

Tu as sûrement un traitement de formulaire défaillant, et une requête SQL non ou mal protégées.

Envoyé par sam01

...L'attaque est toujours la même, 3 tables (et toujours les mêmes...) de ma database sont vidées. Et bien sûr, il y a ma table client....

Si ce sont toujours les 3 mêmes tables, ça te donne une piste de recherche.
On ne peut pas chercher à ta place.

N.B. Et j'ai posé une question à laquelle tu n'as pas répondu.

**sam01** · 30/10/2018, 18h40

salut, je pense avoir répondu à ta question, enfin, à celle de badaze, su tu parles bien du poste sur le forum php.

**sam01** · 30/10/2018, 18h56

pour vérifier si la ligne suivante est bien suspecte,

index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

j'ai tapé l'url suivante, mais ça ne m'a pas vidé les table :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
www.swapnfly.fr/index.php?q=%7B$%7Beval%28$_POST%5Bc%5D%29%7D%7D

j'ai même l'erreur suivante qui s'est affichée :

Not Implemented

GET to /index.php not supported.

Additionally, a 501 Not Implemented error was encountered while trying to use an ErrorDocument to handle the request.

hack de mon site

Sécurité

Vue hybride

Discussions similaires

Partager

Partager