Discussion :

[florent48]

Bonjour,

Après de nombreuses recherches personnelles et d'amis développeurs, je n'ai toujours pas réussi à régler un grave problème que nous avons depuis plusieurs semaines:
Un ancien développeur de notre équipe malhonnête, trouve le moyen de supprimer des tables de notre base donnée,modifier des champs, etc.

Nous avons modifier l'accès sql, mais il arrive à agir visiblement sans se connecter directement.
Il avait précédemment créer des scripts pour supprimer complètement des fichiers, nous les avons détectés et supprimés, mais concernant les actions sur la base nous ne voyons pas comment procéder pour détecter la faille ou sa méthode et la corriger.

Ce serait vraiment super si des personnes sur le forum, auraient des idées ou suggestions à nous proposer.

Merci d'avance

[aieeeuuuuu]

Bonjour,

une première piste probable est qu'il passe par une injection SQL.

il vous faut donc vérifier si les sites accédant à la base sont protégés contre ce type d'attaque...

[Artemus24]

Salut florent48.

Le mieux serait de mettre le serveur mysql dans un répertoire où seul un responsable système aurait les autorisations physiques d'accès.
De ce fait, seules les personnes ayant les autorisations doivent obligatoirement passer par le serveur mysql.

Ensuite, changez tous les comptes dans mysql !
Faites en sorte de créer des comptes ayant des autorisations importantes en spécifiant la restriction la plus grande.
J'entends par là, changer le compte "root" en un autre nom qui sera connu que de ceux qui l'utilisent.
Ensuite, ne mettez pas "%" pour le host, mais une adresse ip spécifique.
Je sais, cela oblige de faire les manipulations que depuis ce compte ip et pas un autre. C'est restrictif !

Je suppose que votre pirate accède par internet et non directement (physiquement) depuis l'ordinateur où est hébergé mysql.
Il est possible de connaitre son adresse IP et de l'interdire dans apache.

On peut appliquer cela dans le pare-feu de votre ordinateur en créant une règle entrante et sortante afin d'interdire cette adresse Ip.
Il faudra aussi penser à mettre en activité les fichiers log du pare-feu afin d'identifier les accès à votre ordinateur.
En fouillant dedans, on trouve une mine d'information qui vous permet de restreindre les accès aux indésirables.

@+

[florent48]

Ok merci beaucoup pour vos réponses, je vais faire cela et revenir vers vous.

Merci encore

[florent48]

Bonjour,

Merci à vous, vos conseils ont semble t'il fonctionné, il semble que le pirate ne puisse plus se connecter à mysql.
En revanche il arrive toujours, avec je ne sais pas quelle manip, à supprimer des fichiers php héberger sur le serveur, mais sans scripts détectable par url apparement.
Auriez-vous une idée sur sa méthode ou comment la détecter.

Merci beaucoup

[Artemus24]

Salut Florent48.

Pour filtrer les adresses IP, je te conseilles d'utiliser ceci dans apache :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
# ====================================== #
#     Module authz_core                  #
# ====================================== #
 
LoadModule authz_core_module           modules/mod_authz_core.so
 
<IfModule authz_core_module>
	# ------------------------------------------ #
	# Liste Générale des Adresses IP interdites  #
	# ------------------------------------------ #
 
	<Directory />
		Options none
		AllowOverride none
#
		<RequireAll>
			Require all granted
#
#			<RequireNone>
#				Require ip 52.203.204.56
#				Require ip 64.38.250.18
#				Require ip 71.6.143.90
#				Require ip 71.6.232.7
#				Require ip 74.82.47.3
#				Require ip 99.91.150.199
#				Require ip 107.170.200.61
#				Require ip 107.170.204.13
#				Require ip 110.177.87.250
#				Require ip 111.231.3.0/24
#				Require ip 162.243.128.177
#				Require ip 162.253.122.172
#				Require ip 176.32.34.75
#			</RequireNone>
		</RequireAll>
	</Directory>
</IfModule>

J'ai subit des attaques de chinois que j'ai résolu, pour un temps, par ce code dans le fichier httpd.conf.

Maintenant, j'ai préféré le mettre dans le pare-feu de mon windows.

En revanche il arrive toujours, avec je ne sais pas quelle manip, à supprimer des fichiers php héberger sur le serveur, mais sans scripts détectable par url apparemment.

Quand tu parles du serveur, il s'agit, je suppose, de l'ordinateur où est hébergé le serveur MySql.
L'accès doit se faire à partir d'un compte VPN.

Il faudrait aussi interdire les accès depuis l'extérieur sous windows.
Il faut se rendre dans les propriétés système, puis dans l'onglet utilisation à distance.
Il faut décocher l'assistance à distance (autoriser les connexions à distance vers cette ordinateur).
Ainsi que bureau à distance et cocher : ne pas autoriser les connexions à distances de cet ordinateur.
Vérifier aussi la sélection des utilisateurs.

Comme il s'agit d'un compte windows qui n'a plus lieu d'être, il faut le supprimer.
Il faut se rendre dans "la gestion de l'ordinateur", puis dans "utilisateurs et groupes locaux".
Vous cliquez sur "utilisateurs". Il y a certainement un compte qui n'a pas lieu d'être là.
si vous ne désirez pas le supprimer, vous pouvez le désactiver.

@+