Discussion :

[gitedoublel]

Bonjour!
Mon site ne cesse de se faire pirater, il est très simple, il y a juste un petit code php et apparemment ça viendrait de celui-ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php include("$contenu"); ?>

Ce code est dans le tableau principal de ma page principale, et dans tous mes liens je met: mapageprincipale.php?contenu=lapagesuivante.htm
ca fait comme un systême de frames quoi.
Seulement c'est vrai que si on tape monsite.com/mapagepricipale.php?contenu=http://www.google.fr ça marche aussi, donc c'est une faille dont doit se servir le hacker ou le virus ou le je ne sais quoi!
Il faudrait rajouter un bout de code qui empêche qu'une page extérieure à mon site soit appelée...
je suppose qu'il doit être assez facile d'y rémédier... Quelqu'un peut il m'orienter?
Grand merci d'avance!
Pour ceux qui veulent constater les dégats: http://www.gitedoublel.com

[gitedoublel]

Le piratage n'est plus visible, j'ai supprimé tous les fichiers qui avaient été ajoutés sur mon ftp. J'ai noté au passage q'un des fichiers s'appelait hirako.php apparemment c'est un manga, mais qqun connait peut-être, c'est pas un virus connu?

[sabotage]

Pour savoir s'il est connu ou non, tu peux le chercher sur google.

[gitedoublel]

ben j'ai essayé, on trouve plei de réponses avec ce manga, a propos de ce mot et de priratage, pas trop, ou alors c'est confus.
Si vous connaissez une fonction pour limiter un readfile($variable) au seul contenu du site internet dont la page fait partie...

[sabotage]

Tu peux commencer par ici :
http://thierrylhomme.developpez.com/...ecure/#include

http://www.developpez.net/forums/d72...aille-include/

http://www.developpez.net/forums/d55...aille-include/

[gitedoublel]

OK!
J'ai ajouté la fonction if file_exist et ça parait marcher, en tout cas on ne peut plus appeler google dans ma page.
J'espère que c'est bien de cette faille dont il se servait!
Merci beaucoup!

[Korko Fain]

file_exists ne résoud pas ton probleme...
http://www.gitedoublel.com/testolive...nu=/etc/passwd

Il va falloir trouver plus astucieux comme résolution ^^

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
define('ROOT', dirname(__FILE__));
 
$contenu =  realpath(ROOT.'/'.$contenu);
 
if( strpos(ROOT, $contenu) != -1 && file_exists($contenu) ) {
    include($contenu);
}
else {
    trigger_error('Fichier invalide', E_USER_ERROR);
}

Un truc dans ce genre par exemple

[gitedoublel]

Bonjour!
En effet, ça a recommencé!

Tout d'abord merci beaucoup
J'ai essayé de copier ton code tel quel (j'y comprend pas grand chose) et
il me trouve une erreur à la ligne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$contenu =  realpath(ROOT.'/'.$contenu);

erreur:

"unexpected T-variable", un truc comme ça.
J'ai essayé en chageant quelques trucs, genre en rajoutant des guillemets autour de ROOT comme au dessus, mais ça change rien.

...

[gitedoublel]

AAAAAAAAAAAAAAAAAAAAh!!!!!!!!!!
Je pète un plomb! Ca a recommencé!
mais comment font-ils?
Il y a une faille possible avec le code de snafu?

[Xunil]

Ne serait-il pas mieux d'interdire tout bonnement l'accès à des fichiers distants ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ini_set('allow_url_include', false); // à placer dans dans fichier de config

A moins que tu n'en ait besoin, je pense que c'est pour l'instant la meilleure solution en attendant que tu approfondisses tes connaissances en matière de sécurité.

[sabotage]

rien ne dit que ce soit l'include qui est utilisé.

[Xunil]

Exact, faudrait voir une page étant " piratée ".

[s.n.a.f.u]

AAAAAAAAAAAAAAAAAAAAh!!!!!!!!!!
Je pète un plomb! Ca a recommencé!
mais comment font-ils?
Il y a une faille possible avec le code de snafu?

Ce code était vraiment basique, donc pas forcément à l'épreuve des balles. Il me semblait pourtant suffisant.
Il serait effectivement nécessaire d'avoir une page piratée pour que nous puissions vraiment diagnostiquer ton problème.

[gitedoublel]

Et meeeeeeeeerde!
ca a recommencé! ca a tenu longtemps cette fois...
Je le laisse un peu comme ça, si y'en a qui veulent passer voir...
y'a des injections sur le fichiers logs.txt, dont une adresse longue et bizare, je sais pas si ça permet de savoir quelque chose...
De toutes façons pour nous la saison bat son plein, mais bon...

[s.n.a.f.u]

Font chier ces hackers à deux balles qui profitent de l'inexpérience des gens.
On voit bien l'ip cible dans le log et le nombre d'essais qu'ils ont faits, mais je ne vois pas la conséquence, tu as dû corriger entretemps.
Aurais-tu gardé le fichier ou l'url posant problème ?

Un bon signe néanmoins : ils ne doivent pas avoir les mots de passe ftp, parce que vu le nombre d'attaques sur /etc/passwd , ils l'ont bien cherché sans réussir.

A suivre...

[supersnail]

Bonjour,

Ce que je peux te conseiller de faire,c'est de loguer TOUT ce qui entre,même les "includes" légitimes,ce qui te permet ensuite d'analyser ce qu'il se passe...
(parce que l'attaque réussie se fera pas logguer sinon ^^)

PS: dans tes logs,il y a des lignes comme

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

hacker = xx.xx.xx.xx 		 injection = http://217.218.225.2:2082/index.html?

et il semblerait que cette "faille" soit connue.
Autre conseil : Ne mets pas tes logs dans le réertoire du serveur,car tout le monde y a accès

[gitedoublel]

Font chier ces hackers à deux balles qui profitent de l'inexpérience des gens.
On voit bien l'ip cible dans le log et le nombre d'essais qu'ils ont faits, mais je ne vois pas la conséquence, tu as dû corriger entretemps.
Aurais-tu gardé le fichier ou l'url posant problème ?

Un bon signe néanmoins : ils ne doivent pas avoir les mots de passe ftp, parce que vu le nombre d'attaques sur /etc/passwd , ils l'ont bien cherché sans réussir.

A suivre...

Non, je n'ai rien corrigé, mais c'est bizzare, quand je vai sur mon site depuis ma barre d'adresse, c'est normal, mais c'est quand j'y vai depuis google il apparait piraté... peut être que c'est pareil pour vous?

[FoxLeRenard]

Non, je n'ai rien corrigé, mais c'est bizzare, quand je vai sur mon site depuis ma barre d'adresse, c'est normal, mais c'est quand j'y vai depuis google il apparait piraté... peut être que c'est pareil pour vous?

C'est trés inquiétant,
il faudrait que nous ayons la totalitée des éléments clé de ton site
l'index
tout ces javascripts
les feuilles de style
le htaccess
(ceux qui sont sur ton site)

En effet on voit bien que le ménage n'est pas fait, et mon diagnostique est que lorsque la page qui possede le lien qui pointe chez toi, est google
alors il y a virus et attaque du micro qui visite

Seuls les fichiers que je t'ais mentionnés sonr intéressants mais il faut CEUX PRESENT sur ton site web.

Alors si tu es OK récupéres les sur ton micro ZIP (avec winzip pas de rAR)
et mets ça sur ton site, mets moi le lien par MP avec en copie s.n.a.f.u
et s' il le souhaite sabotage donc les trois modérateurs qui ont participés a cette discution. bien sur la confidentiakitée sera préservée !

[s.n.a.f.u]

Là j'avoue que je sèche !
J'ai un accès ssh au site du gite, et tout me parait correct.
Le .htaccess est nickel, le fichier index.html ne comprend pas de javascript et il n'y a pas d'autre index.

De plus, le diagnostic même m'épate : lorsqu'on tape l'adresse dans la barre, on tombe sur le site et il est bon, mais effectivement par google on atterrit sur autre chose. Plus étonnant : si tu fais back à partir de ce site pirate, tu retombes sur le bon site.

De plus, la version dans le cache de google est la bonne.

Donc :

En attendant, je me suis permis d'enregistrer le site sur les outils de webmaster de google et je vais voir s'il est possible de les joindre pour avoir une explication.

Ceci dit, je suis en pleine lan ce soir, donc je dirais à suivre, je dois retourner sur counter strike...