Discussion :

[Sayrus]

Bonjour,

Un site d'un ami s'est fait hacké (dont je ne citerai pas le nom ), nous avons découvert dans les logs quelque chose comme ceci:

41.219.197.69 - - [17/Aug/2009:12:41:31 +0200] "POST /fr/page-9/?act=f&f=Bb.php&ft=edit&d=%2Fvar%2Fwebsites%2Fwww.site.fr%2Fcache%2F HTTP/1.1" 200 5639 "http://www.site.fr/fr/page-9/?act=ls&d=%2Fvar%2Fwebsites%2Fwww.site.fr%2Fcache%2F&sort=0a" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.13) Gecko/2009073022 Fir
efox/3.0.13 (.NET CLR 3.5.30729)"

Comment s'appelle ce type de faille?
Je n'ai pas de variable GET ou POST "act", "f", "ft" et "d" à ma connaissance... Comment ces variables peuvent-elles jouer un rôle?

Comment se prévenir de ce type de faille?

Comment cela a-t-il pu arriver?

Merci pour votre aide précieuse!

[FoxLeRenard]

Bonjour,
Un site d'un ami s'est fait hacké Merci pour votre aide précieuse!

Bonjour, hacké es-tu certain ?
Qu'il ait eu dans sa log par exemple de stat une requéte de ce type ce serait banal et courant et sur un site biens écrit, sans risque.

Des moteurs passent leurs temps a visiter les sites avec des requétes de ce type, cherchant a entrer un code de reroutage par exemple. Donc oublies.

Par contre si suite a un hacke que tu pourrait nous décrire, tu as trouvé ça dans tes logs, riens ne dit que les deux soient liés. En effet ce code ressemble a une info de navigateur ...

[Sayrus]

Oui oui bien hacké...

Mais comment je cherche car, le hacker a déposé dans un répertoire nommé "cache" se trouvant à la racine du répertoire du site un fichier php permattant de spammer "Bb.php" contenant un formulaire d'envoi de mails...

Comment le hacker a-t-il procédé?

Nous sommes en train de chercher...

[FoxLeRenard]

Oui oui bien hacké...
Mais comment je cherche car, le hacker a déposé dans un répertoire nommé "cache" se trouvant à la racine du répertoire du site un fichier php permattant de spammer "Bb.php" contenant un formulaire d'envoi de mails...
Comment le hacker a-t-il procédé?
Nous sommes en train de chercher...

Courent Aout nous avons traité et résolu Ici, un cas proche.
Je peux te donner des pistes
ce que tu trouves dans ta log est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
?act=f&f=Bb.php&ft=edit&d=/var/websites/www.site.fr/cache/

L'action c'est f et f c'est Bb.php directory /var/websites/www.site.fr/cache/
Ce ci semble prouver que l'entrés du hackeur est déjas sur le serveur avec des droits, avant la racine de ton site.

Peux tu nous afficher ici, les contenus de htaccess du site et éventuelement de /cache.

Peux tu me dire quelle est actuélement la protection (MOD) de la racine, de
cache de index.php des javascripts des CSS.

Peux tu a titre confidentiel me mettre en MP ton URL

Le cas dont je te parles 18/06/2009 terminé en 08/2009
http://www.developpez.net/forums/d76...securite-site/

[Sayrus]

Courent Aout nous avons traité et résolu Ici, un cas proche.
Je peux te donner des pistes
ce que tu trouves dans ta log est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
?act=f&f=Bb.php&ft=edit&d=/var/websites/www.site.fr/cache/

L'action c'est f et f c'est Bb.php directory /var/websites/www.site.fr/cache/
Ce ci semble prouver que l'entrés du hackeur est déjas sur le serveur avec des droits, avant la racine de ton site.

Peux tu nous afficher ici, les contenus de htaccess du site et éventuelement de /cache.

Peux tu me dire quelle est actuélement la protection (MOD) de la racine, de
cache de index.php des javascripts des CSS.

Peux tu a titre confidentiel me mettre en MP ton URL

Le cas dont je te parles 18/06/2009 terminé en 08/2009
http://www.developpez.net/forums/d76...securite-site/

Je n'ai pas les infos sous la main pour me connecter en FTP d'ici. Mais je peux déjà dire que le .htaccess était de ce modèle:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteEngine On
RewriteRule ^([a-z-A-Z-_]+)/page-([0-9]+)/([0-9-a-z-A-Z-_]+)/$ index.php?action=page&id=$2&lang=$1 [QSA]
...

De simple règle de réécriture et rien d'autre.

Quant au répertoire cache, il ne contient rien, il sert a stocker des fichiers de cache pour une fonctionnalité spécifique. (cette fonctionnalité est désactivée depuis le début, donc se répertoire ne se rempli pas)

Quant à la protection des répertoires c'est comme ceci:

777 pour les répertoires pouvant recevoir des ficheirs
755 pour le reste des répertoires
666 pour les fichiers pouvant être modifier par php
644 pour ceux qui ne changent pas

Propriétaire toto:toto

[FoxLeRenard]

Je n'ai pas les infos sous la main pour me connecter en FTP d'ici. Mais je peux déjà dire que le .htaccess était de ce modèle:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
RewriteEngine On
RewriteRule ^([a-z-A-Z-_]+)/page-([0-9]+)/([0-9-a-z-A-Z-_]+)/$ index.php?action=page&id=$2&lang=$1 [QSA]
...

Houla !! dramatique ces répertoires ouverts en écriture et encore pire les fichiers !

Bon je bosses sur ton cas

[Sayrus]

Houla !! dramatique ces répertoires ouverts en écriture et encore pire les fichiers !

Bon je bosses sur ton cas

Apparemment, sur l'ancien hébergement de ce site, il fallait selon l'hébergeur impérativement mettre 777 pour les répertoires et 666 pour les fichiers car ils avaient un fonctionnement spécifique...

Maintenant ce nouvel hébergement ne demande certainement pas les mêmes permissions...

Par contre, fichiers et répertoires en 666 et 777, qu'est-ce qu'un hacker pourrait bien faire?

Comment pourrait-il déposer des fichiers?

Comment pourrait-il écrire dans un fichier?

Merci

Pourtant ça n'a pas l'air si dramatique que ça car sur un site dédié aux permissions:

Voici un bref passage:

Un script CGI Perl doit avoir CHMOD 755.
Un script PHP n'a pas besoin de CHMOD, ne vous en occupez pas.

Un fichier de données dans lequel un script (php ou perl) doit pouvoir écrire doit avoir CHMOD 666.

Un répertoire de données dans lequel un script (php ou perl) doit pouvoir créer, supprimer des fichiers doit avoir CHMOD 777.

Pour un fichier dans lequel un script ne fait que lire des données, ne vous en occupez pas (en principe le CHMOD 644 est mis par défaut).

Quelque part c'est bon non?

[FoxLeRenard]

Pourtant ça n'a pas l'air si dramatique que ça car sur un site dédié aux permissions:
Quelque part c'est bon non?

Tes deux messages c'est incroyable
on croirais qu'ils te donnent le bon moyen d'étre hacké

Tout tes répertoires doivent étres 755 tout tes fichiers quelque soit le type doivent étre 644

Ensuite, alors tout est bloqué et on fait comment ?

Regarde et utilises cet outil il est super simple a comprendre
http://www.validome.org/doc/HTML_fr/...ants/chmod.htm

[Sayrus]

Tes deux messages c'est incroyable
on croirais qu'ils te donnent le bon moyen d'étre hacké

Tout tes répertoires doivent étres 755 tout tes fichiers quelque soit le type doivent étre 644

Ensuite, alors tout est bloqué et on fait comment ?

Regarde et utilises cet outil il est super simple a comprendre
http://www.validome.org/doc/HTML_fr/...ants/chmod.htm

Ce sont les hébergeurs eux-mêmes qui demandent d'utiliser 777 et 666 (ex: infomaniak, alors que c'est un très bon hébergeur)

Oui si j'ai 755 et 644 PHP ne peux plus rien écrire... que faire?

J'ai vu le lien que tu m'as donné, mais le problème reste le même? Quelles permissions dois-je attribuer?

Merci

[FoxLeRenard]

Ce sont les hébergeurs eux-mêmes qui demandent d'utiliser 777 et 666 (ex: infomaniak, alors que c'est un très bon hébergeur)

Oui si j'ai 755 et 644 PHP ne peux plus rien écrire... que faire?

J'ai vu le lien que tu m'as donné, mais le problème reste le même? Quelles permissions dois-je attribuer?

Merci

En fait si tu veux écrire dans un cadre déjas écris, une modification quoi !
il faut le faire dans des txt et tu en fait un simple chargement dans le PHP la ou il doit étre ...
Le TOP restant de mettre les textes variables dans un Mysql ... car la c'est comme un forum, tout est facilement controlable !

Pour les répertoires c'est uniquement les répertoires qui doivent recevoir un upload de fichier que c'est util ! si non répertoires et fichiers sont indépendants.

L'avantage est que tu peux lire et réécrire un TXT "déprotégé" mais pas en créer un !!