Discussion :

[ozarus]

Bonjour à tous,

voici mon premier post sur ce forum, j'ai passé pas mal de temps a éplucher le site et d'autres pour trouver une solution à mon problème, je ne sais à vrai dire par ou commencer. Alors je me permets de poster ici, peut etre que vous allez me rediriger vers les bons posts ou les bons tutos.

Donc voilà, je suis débutant, j'ai fait un site web qui s'est fait attaquer à plusieurs reprises et je tente du coup de chercher la faille qui se trouve dans la partie administration de mon site. En gros le site est construit de cette manière :

à la racine le site est "monsite.fr";

la partie administration de mon site se trouve dans un dossier qui se nomme administration: "monsite.fr/administration/"
il est protégé par un htacces/htpasswd, une fois le login et paswd bon, on tombe sur la page index du dossier : "monsite.fr/administration/index.html"

dans cette index.html on a plusieurs lien qui amène vers les différentes page d'administration du site, ces liens sont mis dans un tableau du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<table>
<tr>
<td>
	<ul>
		<li><a href="admin_default.php">ACCUEIL</a></li><br><br>
		<li><a href="admin_partie1.php">PARTIE 1</a></li><br><br>
		<li><a href="admin_partie2.php">PARTIE 2</a></li><br><br>
		<li><a href="admin_partie3.php">PARTIE 3</a></li><br><br>
		<li><a href="admin_partie4.php">PARTIE 4</a></li><br><br>
		<li><a href="admin_partie5.php">PARTIE 5</a></li><br><br>
		<li><a href="admin_partie6.php">PARTIE 6</a></li><br><br>
	</ul>
</td>
</tr>
</table>

Est-ce que vous trouver que la méthode est mauvaise ? (nom du dossier, affichage des liens des pages admin dans le html)
qu'est-ce que je dois revoir ?
comme vous le voyez j'ai pas fait d'include, vu qu'apparamment c'est souvent vers la que se pose le probleme.

Merci d'avance pour vos reponses, suggestions et aides.

cordialement

[martialuk]

Tu es sûr que ton .htaccess et .htpasswd est bien configuré par rapport à ton serveur web, parce que si c'est le cas, c'est bizarre quand même. C'est une des meilleures protections d'accès.

Si tu veux, fais nous une copie içi du .htaccess

[ozarus]

bonsoir,

le .htaccess est de ce type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthName "Page d'administration protégée"
AuthType Basic
AuthUserFile "/home.10.17/blabla/www/monsite/administration/.htpasswd"
Require valid-user

et le .htpasswd du type :

login:$***************

et a priori ca marche dans la mesure ou si je tente d'aller sur la page admin, je dois effectivement m'identifier.
Mais qu'entends-tu par bien configurer par rapport au serveur ?

Sinon j'ai entendu dire que mettre l'accès à l'administration par le biais d'un fichier du genre 'admin.php' voire par un dossier que l'on nomme 'admin' ou 'administration' peut être trop évidement pour les hackers. Ceci dans la mesure où ces derniers peuvent en effet trouver aisément la partie 'admin' d'un site qu'ils veulent attaquer. On me dit que pour régler le problème il faut que je renomme mon dossier "administration" en quelque chose d'illisible dont seul l'administrateur connait le nom. Qu'en penses-tu ?

merci encore,

ozarus

[martialuk]

Ton .htaccess me parait correct.

Je te conseille juste d'ajouter ceci, même si logiquement çà n'influence pas trop:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<files .htaccess>
Deny From All
</files>

Ensuite tu peux effectivement renommer le dossier d'administration.

Mais qu'entends tu par hacker? Tu sais ce qu'ils ont fait et comment ils sont rentrer?

[ozarus]

Je ne sais pas du tout comment ils ont fait mais en tout cas voilà les symptômes et surtout le mail que j'ai reçu qui détaille les opérations qu'ils ont essayé de faire:

1) en tentant d'acceder au site, j'obtiens ce message :
403 Forbidden
Forbidden
You don't have permission to access / on this server.

2) l'hebergeur m'envoie plusieurs mails du type suivant (a chaque fois que je me fais attaquer en fait) :
>Bonjour,
>
> Notre système de surveillance (Okillerd) a détecté une opération
> irrégulière au niveau de votre site.
>
> Les détails de cette opération sont les suivants :
>
> monnomdedomaine.com
>
> Problème rencontré : Hidden PERL script
> Commande apparente : /usr/local/apache/bin/httpd -DSSL
> Exécutable utilisé : /usr/bin/perl
> Horodatage: Mon Jan 7 19:06:14 CET 2008
>
[>(autre operation illegale)
>Problème rencontré : prog launched from tmp directory
>Commande apparente : -bash
>Exécutable utilisé : /var/tmp/update (deleted)
>Horodatage: Sun Jan 6 21:13:50 CET 2008]
>
> Ceci n'est pas autorisé sur nos installations,
> car c'est une tentative potentielle de piratage.
>
> Si ce n'est pas vous qui avez lancé ce script, cela signifie
> qu'il y a une faille sur votre site et qu'un hacker s'en
> est servi pour réaliser cette opération.
>
> Nous avons désactivé l'accès web temporairement pour éviter tout
> risque de nouveau piratage.
>
> ............
>
> Contactez notre support si vous ne parvenez pas à rouvrir l'accès
> web par vous-même. Notez que les équipes du support ne peuvent pas
> rechercher l'origine du problème pour vous, mis à part dans le
> cadre d'une opération payante d'infogérance.
>
> Amicalement
> L'équipe d'ovh
>


et


3) en me connectant sur le ftp je trouve 2 fichier pas très clair sorti de nul part dans mon dossier administration: error_log.php et thumbs.php ils font chacun 151ko et quand je les affiche pour voir, ce sont deux formulaires du type login/passwd et biensur je les ai supprimé.

[martialuk]

Salut à toi,

je peux désormais te rassurer donc, ton site internet n'a pas été attaqué.

Ce message que tu as reçu de la part d'OVH est un mail automatique qui est envoyé par nos serveurs lorsque l'activité de ton site est très élevé sur nos serveurs de fichiers.

Celà signifie en réalité que c'est un de tes scripts (probablement en PHP) qui pose problème. En clair, un de tes scripts fait des transferts massif de fichiers depuis un serveur externe vers le serveur de fichier OVH. (Un script comme Net2Ftp provoque généralement ce genre d'erreur.)

Si tu as par exemple un formulaire d'envoi de fichiers, quelqu'un peut également se servir de ce formulaire de façon massive pour télécharger des fichiers dont la taille totale excède 100 Mo.

Enfin bref, à toi maintenant de découvrir quel est le script qui pose problème et le corriger. Mais en tous cas, tu n'as rien à craindre au niveau de ton accès gérer par .htaccess

Cordialement.