IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Faille de sécurité dans mon site


Sujet :

Langage PHP

  1. #1
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut Faille de sécurité dans mon site
    Bonjour!
    Mon site ne cesse de se faire pirater, il est très simple, il y a juste un petit code php et apparemment ça viendrait de celui-ci:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <?php include("$contenu"); ?>
    Ce code est dans le tableau principal de ma page principale, et dans tous mes liens je met: mapageprincipale.php?contenu=lapagesuivante.htm
    ca fait comme un systême de frames quoi.
    Seulement c'est vrai que si on tape monsite.com/mapagepricipale.php?contenu=http://www.google.fr ça marche aussi, donc c'est une faille dont doit se servir le hacker ou le virus ou le je ne sais quoi!
    Il faudrait rajouter un bout de code qui empêche qu'une page extérieure à mon site soit appelée...
    je suppose qu'il doit être assez facile d'y rémédier... Quelqu'un peut il m'orienter?
    Grand merci d'avance!
    Pour ceux qui veulent constater les dégats: http://www.gitedoublel.com

  2. #2
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    Le piratage n'est plus visible, j'ai supprimé tous les fichiers qui avaient été ajoutés sur mon ftp. J'ai noté au passage q'un des fichiers s'appelait hirako.php apparemment c'est un manga, mais qqun connait peut-être, c'est pas un virus connu?

  3. #3
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    Pour savoir s'il est connu ou non, tu peux le chercher sur google.
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  4. #4
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    ben j'ai essayé, on trouve plei de réponses avec ce manga, a propos de ce mot et de priratage, pas trop, ou alors c'est confus.
    Si vous connaissez une fonction pour limiter un readfile($variable) au seul contenu du site internet dont la page fait partie...

  5. #5
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  6. #6
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    OK!
    J'ai ajouté la fonction if file_exist et ça parait marcher, en tout cas on ne peut plus appeler google dans ma page.
    J'espère que c'est bien de cette faille dont il se servait!
    Merci beaucoup!

  7. #7
    Membre éclairé Avatar de Korko Fain
    Profil pro
    Étudiant
    Inscrit en
    Août 2005
    Messages
    632
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Août 2005
    Messages : 632
    Points : 718
    Points
    718
    Par défaut
    file_exists ne résoud pas ton probleme...
    http://www.gitedoublel.com/testolive...nu=/etc/passwd

    Il va falloir trouver plus astucieux comme résolution ^^
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    define('ROOT', dirname(__FILE__));
     
    $contenu =  realpath(ROOT.'/'.$contenu);
     
    if( strpos(ROOT, $contenu) != -1 && file_exists($contenu) ) {
        include($contenu);
    }
    else {
        trigger_error('Fichier invalide', E_USER_ERROR);
    }
    Un truc dans ce genre par exemple

  8. #8
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    Bonjour!
    En effet, ça a recommencé!

    Tout d'abord merci beaucoup
    J'ai essayé de copier ton code tel quel (j'y comprend pas grand chose) et
    il me trouve une erreur à la ligne:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $contenu =  realpath(ROOT.'/'.$contenu);
    erreur:
    "unexpected T-variable", un truc comme ça.
    J'ai essayé en chageant quelques trucs, genre en rajoutant des guillemets autour de ROOT comme au dessus, mais ça change rien.
    ...

  9. #9
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    Par ailleurs, c'est hallucinant l'erreur que ça génère le lien que tu as créé!
    C'est quoi les noms? C'est tous les sites hébergés sur le même serveur que moi chez ovh?

  10. #10
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    La solution la plus strict concernant l'include consiste à spécifier le fichier qu'on inclus a partir du paramètre.
    ie : rubriqueB => rubrique_b.php
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  11. #11
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    Désolé désolé désolé
    Je comprend pas

    je m'y connais pas assez

    Et j'ai eu une (humble) idée
    Si je met
    include("http://www.gitedoublel.com/$contenu");
    ça empêche pas qu'on exécute des fichiers hébergés ailleurs?
    c'est correct comme code?

    sinon je peux peut-être mettre autre chose qu'include, genre readfile(), ça changerait quelque chose?

  12. #12
    mon_nom_est_personne
    Invité(e)
    Par défaut
    L'idee de sabotage si tu preferes, c'est de passer par un systeme de code.

    par example:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
     
    $listeDesPages = array('1' => 'blabla.php',
                                      '2' => 'tutu.php');
     
    if(array_key_exists($contenu,$listeDesPages) === true)
    {
         define('ROOT', dirname(__FILE__));
     
        $fichierAinclure =  realpath(ROOT.'/'.$listeDesPages[$contenu]);
     
        if( strpos(ROOT, $fichierAinclure) != -1 && file_exists($fichierAinclure) ) {
             include($fichierAinclure);
        }else {
             trigger_error('Fichier invalide', E_USER_ERROR);
        }
     
     
    }else{
          trigger_error('Fichier invalide', E_USER_ERROR);
    }
    mais apres tu peux passe a des choses plus "dynamique", d'ou l'exemple de sabotage d'avoir:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
     
    $contenu = "rubriqueB";
     
    if(preg_match('/([a-z]+)([A-Z]{1}[a-z]*)/',$contenu,$elem) === 1)
    {
        $fichierAcharger = $elem[0].'_'.$elem[1].'.php';
    }else{
        $fichierAcharger = 'default.php';
    }
     
    ......
    Les possibilites sont infinies a toi de voir ce qui te plais, tu peux aussi utiliser des hash, des algo de cryptage etc..
    Comme ca tu es sur que monsite.com/mapagepricipale.php?contenu=1 retournera toujours la meme chose et tu es plutot protege contre les attaques de type XSS.

  13. #13
    Membre expert
    Avatar de s.n.a.f.u
    Homme Profil pro
    Développeur Web
    Inscrit en
    Août 2006
    Messages
    2 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Août 2006
    Messages : 2 760
    Points : 3 545
    Points
    3 545
    Par défaut
    Ou sinon un truc moins souple mais apparemment suffisant pour toi

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    if ( preg_match('# http | / | \\\\#x', $contenu) ) exit("paramètre inconnu");
    • Avant de poser une question, n'hésitez pas à chercher dans la FAQ et les forums
    • Merci d'utiliser les balises de code (# dans l'éditeur)
    • N'oubliez pas de vous servir des boutons , et

    S.N.A.F.U

  14. #14
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    Citation Envoyé par s.n.a.f.u Voir le message
    Ou sinon un truc moins souple mais apparemment suffisant pour toi

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    if ( preg_match('# http | / | \\\\#x', $contenu) ) exit("paramètre inconnu");
    J'ai mis cette solution, et ça parait fonctionner reste à voir si cela cesse (ça avait encore recommencé cette après midi).
    J'en profite pour m'excuser, car je suis conscient qu'un forum de spécialiste n'est pas destiné à recevoir des questions de débutants qui cherchent à ce qu'on fasse le boulot à leur place.
    Simplement nous sommes un gite qui organisons des séjours enfant cet été, et notre site renvoyait un jour sur deux, juste avant l'été, sur une page affichant "free porn movies!"
    Vous imaginez la catastrophe pour nous, c'est pour ça que j'ai eu cette attitude, en d'autres circonstances, j'aurais essayé de me documenter un peu plus tout seul.
    En tout cas merci à vous d'avoir pris le temps de m'aider!
    ...Et j'espère que ça va enfin cesser!

  15. #15
    Membre expert
    Avatar de s.n.a.f.u
    Homme Profil pro
    Développeur Web
    Inscrit en
    Août 2006
    Messages
    2 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Août 2006
    Messages : 2 760
    Points : 3 545
    Points
    3 545
    Par défaut
    Citation Envoyé par gitedoublel Voir le message
    J'en profite pour m'excuser, car je suis conscient qu'un forum de spécialiste n'est pas destiné à recevoir des questions de débutants qui cherchent à ce qu'on fasse le boulot à leur place.
    Simplement nous sommes un gite qui organisons des séjours enfant cet été, et notre site renvoyait un jour sur deux, juste avant l'été, sur une page affichant "free porn movies!"
    Vous imaginez la catastrophe pour nous, c'est pour ça que j'ai eu cette attitude, en d'autres circonstances, j'aurais essayé de me documenter un peu plus tout seul.
    En tout cas merci à vous d'avoir pris le temps de m'aider!
    ...Et j'espère que ça va enfin cesser!
    Tu n'as pas du tout à t'excuser : si les débutants ne recevaient jamais d'aide, les spécialistes seraient rares...

    Bonne continuation et à bientôt,
    • Avant de poser une question, n'hésitez pas à chercher dans la FAQ et les forums
    • Merci d'utiliser les balises de code (# dans l'éditeur)
    • N'oubliez pas de vous servir des boutons , et

    S.N.A.F.U

  16. #16
    mon_nom_est_personne
    Invité(e)
    Par défaut
    @gitedoublel : on a tous commence quelque part

  17. #17
    Candidat au Club
    Inscrit en
    Juin 2009
    Messages
    18
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 18
    Points : 2
    Points
    2
    Par défaut
    AAAAAAAAAAAAAAAAAAAAh!!!!!!!!!!
    Je pète un plomb! Ca a recommencé!
    mais comment font-ils?
    Il y a une faille possible avec le code de snafu?

  18. #18
    Membre éclairé
    Inscrit en
    Septembre 2006
    Messages
    685
    Détails du profil
    Informations forums :
    Inscription : Septembre 2006
    Messages : 685
    Points : 658
    Points
    658
    Par défaut
    Ne serait-il pas mieux d'interdire tout bonnement l'accès à des fichiers distants ?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    ini_set('allow_url_include', false); // à placer dans dans fichier de config
    A moins que tu n'en ait besoin, je pense que c'est pour l'instant la meilleure solution en attendant que tu approfondisses tes connaissances en matière de sécurité.

  19. #19
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    rien ne dit que ce soit l'include qui est utilisé.
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  20. #20
    Membre éclairé
    Inscrit en
    Septembre 2006
    Messages
    685
    Détails du profil
    Informations forums :
    Inscription : Septembre 2006
    Messages : 685
    Points : 658
    Points
    658
    Par défaut
    Exact, faudrait voir une page étant " piratée ".

+ Répondre à la discussion
Cette discussion est résolue.
Page 1 sur 4 1234 DernièreDernière

Discussions similaires

  1. [PHP 5.0] Faille de sécurité dans mon site
    Par AlTi5 dans le forum Langage
    Réponses: 24
    Dernier message: 12/02/2013, 23h37
  2. Réponses: 4
    Dernier message: 01/08/2012, 01h22
  3. Déterminer les failles de sécurités sur mon site
    Par whitespirit dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 05/06/2008, 08h36
  4. [MySQL] Comment créer une sous catégorie dans mon site ?
    Par plex dans le forum PHP & Base de données
    Réponses: 5
    Dernier message: 18/08/2006, 10h59
  5. Images dans mon site qui deforment tout
    Par warrendc dans le forum Balisage (X)HTML et validation W3C
    Réponses: 4
    Dernier message: 26/06/2006, 15h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo