Discussion :

[CrazyCow007]

Bonjour,

A deux reprises mon site a été bloqué par mon hébergeur "par mesure de sécurité", car une personne extérieure semblait vouloir exécuter un programme.

Problème rencontré : prog launched from tmp directory
Commande apparente : /usr/local/apache/bin/httpd
Exécutable utilisé : /var/log/tmp/cbfeed/f9/backup/httpd

Avant ça j'avais déjà remarqué que j'avais reçu une ou deux heures avant des mails étranges (envoyés depuis mon formulaire de contact).

La première fois j'avais donc immédiatement retiré le fichier contact.php du serveur et ajouté des html_entities() sur tous les champs que je récupérais.

Mais apparemment cela n'a pas suffit, donc je voulais savoir quelles modifications je devrais apporter sur mon fichier pour qu'il n'y ait plus de failles de sécurité.

Voici un des emails que j'ai reçu peu avant la tentative de piratage

De : sidestep@tom.com
Envoyé : sam. 10/05/08 19:44
À : jamesbond-fr@[...]
--------------------------------
Sujet :
Son nom / pseudo :
Son adresse e-mail : signaler une actualit? >signaler une actualit?/option> <option value=
Son pays : non précis?>veuillez choisir</option> <option value=
La note qu'il a donné à JamesBond-fr.com : non précis?>veuillez choisir</option> <option>0/10 - nul</option> <option>1/10</option> <option>2/10</option> <option>3/10</option> <option>4/10</option> <option>5/10 - moyen</option> <option>6/10</option> <option>7/10</option> <option>8/10</option> <option>9/10</option> <option>10/10 - excellent</option> </select></td> </tr> <tr> <td width=
Message :
ÖÂÁ¦ÓÚ<a href=http://www.googlerank10.com>googleÅÅÃû</a>»úеÖÆÔì,googleÅÅÃû¼¸Ê®Äê»ù´¡,ÔÚgoogleÅÅÃûÐÅÏ¢,googleÅÅÃû¼¼Êõ·½Ãæ,ÎÒÃÇ»ýÀÛÁ˷ḻµÄgoogleÅÅÃû¾*ÑéÌì½ò<a href=http://www.googlerank10.com>googleÅÅÃû</a>¹«Ë¾×¨ÒµgoogleÅÅÃû»ú¹¹È¨ÍþÍƳöÌì½ògoogleÅÅÃû¹«Ë¾, Ìì½ògoogleÅÅÃû¹«Ë¾Ó¢ÓïgoogleÅÅÃû, Ìì½ògoogleÅÅÃû¹«Ë¾Â·ÅÆgoogleÅÅÃûÉè¼Æ£¬Â·ÅÆ<a href=http://www.googlerank10.com>googleÅÅÃû</a>ͼƬ£¬ÉϺ£Â·ÅÆgoogleÅÅÃû¹«Ë¾£¬Â·ÅÆgoogleÅÅÃûÉè¼Æ£¬Â·ÅÆgoogleÅÅÃûÖÆ×÷.Öйú<a href=http://www.googlerank10.com>googleÅÅÃû</a>ÍøΪ¹úÄÚgoogleÅÅÃûÍøÂçµÚһƷÅÆ,ÖйúgoogleÅÅÃûÍøÊǹúÄÚ×îÍêÉƵÄgoogleÅÅÃûÀà²úÆ·googleÅÅÃûµç×ÓÉÌÎñ½»Ò×ƽ̨

Voici un extrait du code de la page contact.php avec les corrections que j'ai apporté mais qui ne semblent pas résoudre le problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
<?php
// Envoi de mail
if($_POST["action"] == "send")
{
//--- les variables ---//  
 
$message = htmlentities(trim(nl2br($_POST["message"])));
$email = htmlentities(trim($_POST["email"]));
$pseudo = htmlentities(trim($_POST["pseudo"]));
$pays = htmlentities($_POST["pays"]);
$note = htmlentities($_POST["note"]);
$email = htmlentities(trim($_POST["sujet"]));
 
$to = 'jamesbond-fr@[...]';
 
//--- la structure du mail ----//  
 
$from  = "From:".$email."\n"; 
$from .= "MIME-version: 1.0\n";
$from .= "Content-type: text/html; charset= iso-8859-1\n"; 
 
$email='<table cellpadding="0" cellspacing="5" style="border-collapse: collapse"width="505">
      <tr>
        <td width="217"><b>Sujet :</b></td>
        <td width="273">'.$sujet.'</td>
      </tr>
      <tr>
        <td width="217"><b>Son nom / pseudo :</b></td>
        <td width="273">'.$pseudo.'</td>
      </tr>
      <tr>
        <td width="217"><b>Son adresse e-mail :</b></td>
        <td width="273">'.$email.'</td>
      </tr>
      <tr>
        <td width="217">Son pays :</td>
        <td width="273">'.$pays.'</td>
      </tr>
      <tr>
        <td width="217">La note qu\'il a donné à <i>JamesBond-fr.com</i> :</td>
        <td width="273">'.$note.'</td>
      </tr>
      <tr>
        <td width="495" colspan="2"><b>Message :<br>
        </b>'.$message.'</td>
      </tr>
    </table>';  
 
// On enleve les anti slashs
$email = stripslashes($email);
 
//--- on envoie l'email ---//  
mail($to,$sujet,$email,$from);
 
echo("<div class=\"indexinfo\">Message envoyé !</div>");
}
?>

Merci par avance pour votre aide !

[juliens9]

Je ne vois aucune erreur en particulier dans ton compte.

La plupart des failles ne sont pas du au code mais à la configuration du serveur.

Est-tu sur un serveur dédié ou mutualisé ?

Julien