PHP

demande d'aide contre hacking de site

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : demande d'aide contre hacking de site

guilll

Salut à tous,

Voilà, je m'occupe pour le boulot d'un site assez important en taille, qui a été conçu il y a plusieurs années par un gars avec qui nous n'avons plus aucun contact. N'ayant pas conçu le site, je ne maîtrise pas toutes les subtilités du code.

Ce week end nous avons été hackés par un petit **** de **** de sa **** qui m'a changé des éléments s'affichant sur la page d'accueil et d'autres pages, et a changé les mots de passes admin :fou:

Je pense qu'il doit y avoir une faille dans le code php, car il n'a changé que des variables php qui peuvent être modifiées avec l'interface admin.

Quelqu'un pourrait-il me donner un coup de main pour trouver la faille ? Je ne suis pas spécialiste en la matière ...

L'adresse du site : http://www.lamaisondesenseignants.com/index.php (j'ai mis un index.html provisoire pour les utilisateurs).

Merci bcp !

Publicité

Pascal le nain

Si on a pas acces au code, c'est pas facile de deviner où se trouve la faille...

GordonF_69

Ya des injection SQL qui sont facil a faire par ici :

http://lamaisondesenseignants.com/ [...] %27test%27

J'ai tenté de faire aussi un truc avec des update, mais je suis pas encore assez bon

http://lamaisondesenseignants.com/ [...] 20nom=1%29

Si ya des specialiste SQL qui peuvent m'aider

Message édité par GordonF_69 le 10-10-2011 à 16:59:04

guilll

Merci pour les coups de main les zamis

Pour donner accès au code, donner l'url ne suffit pas ? Que puis-je faire d'autre ? (désolé si c'est stupide comme questions)

Là j'essaye déjà de récupérer un accès admin :fou:

GordonF_69

Je tente de faire des trucs avec ton site, mais j'ai un peu de mal, sinon le mec a fait des update pour mettre a jour les pass etc etc, va dans ta BDD puis met a jour toi meme les trucs.

guilll

Oui c'est ce que je fais, faut juste que je trouve où ils sont stockés, ce que je ne sais pas, n'ayant pas créé le site moi-même.

GordonF_69

Faut que t'aille la : http://lamaisondesenseignants.com/phpmyadmin/

CyberDenix

Je dirais de désactiver les REGISTER_GLOBALS dans le php.ini, de désactiver allow_url_include dans le php.ini, faire des inclusions de fichier uniquement en liste blanche, échapper tes paramètres requête MYSQL (mysql_real_escape_string, PDO), mettre à jour ton apache (le fameux bug des multiple ranges qui nique tout)... le blabla habituel, quoi !

Message édité par CyberDenix le 10-10-2011 à 19:33:16

---------------
Directeur Technique (CTO)

guilll

Merci bcp pour votre aide !

J'ai réussi à reprendre la main sur l'admin, là je corrige les failles.

Apparemment mon prédécesseur ne s'étai pas trop fait ch... à sécuriser le site :fou:

guilll

Suite de l'histoire :pt1cable:

Le créateur du site l'a conçu de telle manière que register_globals doit forcément être on pour que ça marche :sweat:

je vais devoir tout me taper à reprogrammer :fou:

Publicité

rufo

Pas me confondre avec Lycos!

Le gros boulet!!! Bon courage

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta

FORUM HardWare.fr

Programmation

PHP

demande d'aide contre hacking de site

Sujets relatifs
aide javascript / css : phénomène paranormal	[Python] Aide pour un programme de débutant
Besoin d'aide dans mon code	problème avec réécriture d'URL et images site
Demande de réalisation d'un compteur	aide
[Résolu] Problème pour acceder à un site bancaire	Besoin urgent de votre avis sur la conception d' un site
[Aide] trie d'un tableau par date	Besoin d'aide sur code
Plus de sujets relatifs à : demande d'aide contre hacking de site

Page générée en 0.067 secondes