Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1651 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Protection contre hack de site en php

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Protection contre hack de site en php

n°1364591
petefoul
Posté le 11-05-2006 à 19:39:29  profilanswer
 

 Salut à tous j'aimerai avoir quelques conseils pour sécuriser un site en php.
   Ce site est hébergé chez free et je viens de subir un hack, rien de bien méchant à priori (changement page d'accueil) mais apparement y a une faille.  :fou:
    Pour info j'ai changé mon mdp base sql et accés espace perso. Mais j'aimerai savoir si il y aurait quelque chose à faire pour sécurisé un peu plus le site car si cette fois ils n'ont rien détruit à priori rien ne dit qu'ils ne vont pas recommencer et avec plus de dégats. :sweat:
   
           Merci d'avance  :jap:

 


mood
Publicité
Posté le 11-05-2006 à 19:39:29  profilanswer
 

n°1364596
FlorentG
Posté le 11-05-2006 à 19:43:06  profilanswer
 

ENVOI LE LIEN §§§
 
On se fera un plaisir de chercher la faille :)

n°1364618
petefoul
Posté le 11-05-2006 à 20:18:21  profilanswer
 

On se connaîtrai un peut mieux je l'aurai probablement fait.  
   Mais je sais pas pourquoi d'un seul coup je suis devenu méfiant.
  Pour ton information ils ont juste introduit un index.html qui a pris le pas sur l'index.php mais comment that's the question ??

n°1364620
FlorentG
Posté le 11-05-2006 à 20:20:23  profilanswer
 

Ben sans voir le site justement, on ne peut strictement rien faire :( Il faut deux choses : soit un lien vers le site pour qu'on puisse trouver, soit le code source complet pour analyse. Sans ça, on ne pourra pas t'aider...

n°1364621
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 11-05-2006 à 20:21:06  profilanswer
 

petefoul a écrit :

On se connaîtrai un peut mieux je l'aurai probablement fait.


FlorentG, tu peux lui faire confiance, il m'a justement aider à corriger une faille de mon site.
 
Moi aussi tu peux me faire confiance, mais de toutes façons, je suis incapable de trouver la moindre faille, trop la flemme.
 
Disons que comme conseille pour protéger un site web, il y a quelques règles de base à entrer dans sa tête.
La première, ne jamais faire confiance aux entrés utilisateurs.
Tout ce que l'utilisateur entre et que tu récupères, tu parses, mysql_real_escape_string si ça va dans une base de donnée, getimagesize si c'est une image pour vérifier que c'est bien une image, etc.

n°1364622
FlorentG
Posté le 11-05-2006 à 20:21:42  profilanswer
 

Voilà, sur ce topic, on a trouvé plein de faille, mais on n'a rien fait de méchant :)

n°1364629
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 11-05-2006 à 20:30:30  profilanswer
 

FlorentG a écrit :

Voilà, sur ce topic, on a trouvé plein de faille, mais on n'a rien fait de méchant :)


Parle pour toi, y'a quand même un p'tit malin qui ma vider ma table des smileys  :o  
Même si c'était pas une erreur de script.  [:amandine75011]

n°1364631
petefoul
Posté le 11-05-2006 à 20:34:29  profilanswer
 

Allez soyons fou, croyons en la bonté et la fraternité humaine enfin faux se faire violence quand même ^^ avec ce qui vient de m'arriver.
http://guildebbkc.free.fr/  
 
  Pour info nous sommes 2 à administrer le site et personne d'autres que nous n'a accés à la base de donnée et bien que ce soit possible personne n'upload d'image sur le site car je n'ai pas donné les droits.  
  Voili voilou et si je me retrouve avec une page d'accueil quelque peut chantée je saurai ou venir raler.

n°1364635
The-Shadow
Développeur
T'as été voir dans ton profil?
Posté le 11-05-2006 à 20:43:46  profilanswer
 

ça commence mal.
 

Code :
  1. Warning: mysql_pconnect(): Access denied for user 'xxxxxxx'@'172.20.xxx.xxx' (using password: YES) in /var/www/sdb/a/3/guildebbkc/fonctions.php on line 314
  2. Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /var/www/sdb/a/3/guildebbkc/fonctions.php on line 315
  3. Erreur de connexion au serveur de BDD ( sql.free.fr )


Message édité par The-Shadow le 11-05-2006 à 21:16:33
n°1364643
petefoul
Posté le 11-05-2006 à 21:08:49  profilanswer
 

Je viens de voir ça. Je pige pas. :/

mood
Publicité
Posté le 11-05-2006 à 21:08:49  profilanswer
 

n°1364661
Djebel1
Nul professionnel
Posté le 11-05-2006 à 21:38:11  profilanswer
 

Vérifie, ton pass MySQL a l'air d'avoir été modifié.
Faut savoir si c'est le pass de ta base, ou le pass dans ton script qui a été modifié (/var/www/sdb/a/3/guildebbkc/fonctions.php on line 314)
 
Si c'est dans le script, soit y a une faille violente (perso j'en connais pas pour modifier le script d'un site, mais jsuis pas un pro), soit c'est qqn qui a un accès ftp à ton site : ton pote.
 
Et je parierais la dessus :D (ça me fait penser au communiqué de l'exploitant d'un jeu qui t'expliquait que dans 90% des cas c'était ton pti frère ou ton meilleur pote qui te carottait ton pass  [:bap2703] )

n°1364671
FlorentG
Posté le 11-05-2006 à 22:10:24  profilanswer
 

Ah ouais là, c'est loupé, le gars a modifié le mot de passe de connexion :( Et du coup, on n'a pas accès à grand-chose, ça sera toujours aussi difficile de trouver d'où ça vient :'(

n°1365019
petefoul
Posté le 12-05-2006 à 13:19:13  profilanswer
 

Pb réglé comme vous vous en doutiez c'était mdp db que j'avais changé ^^. Pas eu le temps de voir ça hier soir dsl.
  Vous pouvez aller farfouiller maintenant.
  Merci d'avance pour vos suggestions.

n°1365141
omega2
Posté le 12-05-2006 à 14:53:18  profilanswer
 

http://guildebbkc.free.fr/phpRaid/
t'as le mot de passe bdd à régler là aussi.
Est ce que t'as vérifier les alertes de sécurités des éléments que vous avez récupérer ailleur?

n°1365154
Djebel1
Nul professionnel
Posté le 12-05-2006 à 15:00:33  profilanswer
 

perso j'arrive pas à faire de sql injection dans ta page admin, c'est déjà bon signe :p.


Message édité par Djebel1 le 12-05-2006 à 15:01:57
n°1365171
Djebel1
Nul professionnel
Posté le 12-05-2006 à 15:10:29  profilanswer
 

1 faille XSS trouvée, affichage de document.cookie :  
http://guildebbkc.free.fr/catscree [...] /script%3E
 
et heureusement que tes magic_quote ont l'air activés :D spour ça que le SQL injection marche pas ^^
En plus on peut voir certaines requêtes sql, ce qui aide bien quand on veut te pirater :  
http://guildebbkc.free.fr/roster/index.php?pguild='
 
Ici t'as du oublié un htmlentities sur l'affichage de l'id du membre, ça fait afficher des trucs qui devraient pas. Là c'est pas grave, mais un de ces 4 ça sera ptet tout ton code PHP qu'on arrivera à faire afficher :D
http://guildebbkc.free.fr/roster/c [...] er_id='%3E
Et c'est pas une faille, mais ça bug si tu fais ça : http://guildebbkc.free.fr/roster/char.php?member_id=1

Message cité 1 fois
Message édité par Djebel1 le 12-05-2006 à 15:33:36
n°1365179
j_lecruel
☀ ☁ ☂
Posté le 12-05-2006 à 15:15:19  profilanswer
 
n°1365214
FlorentG
Posté le 12-05-2006 à 15:38:58  profilanswer
 

Djebel1 a écrit :

1 faille XSS trouvée, affichage de document.cookie :  
http://guildebbkc.free.fr/catscree [...] /script%3E


Ah merde voilà pourquoi ça marchait pas chez moi, j'ai pas mis les bons trucs pour escaper les < et > :D

n°1365220
Djebel1
Nul professionnel
Posté le 12-05-2006 à 15:43:18  profilanswer
 

huhu, tu devais être déçu :D
par contre, à moins de lui avoir envoyé un lien pour exploiter la faille XSS, j'ai pas trouvé comment le hacker avait fait pour upload des images etc.

n°1365439
petefoul
Posté le 12-05-2006 à 20:05:21  profilanswer
 

J'ai fait le nécessaire pour PHP RAID.
  Si on pouvait me faire un résumé de ce que vous avez remarqué et si vous avez un début d'explication sur la méthode employée pour arriver à mettre un index.html sur l'espace perso.
   Les failles que vous avez repéré constituent-elles un risque important ? et si oui un début de méthode pour y remedier ?
    Merci d'avance

n°1365450
Djebel1
Nul professionnel
Posté le 12-05-2006 à 21:10:12  profilanswer
 

la principale faille, c'est les failles XSS, qui permet de faire exécuter du javascript. Je t'envoie un lien trafiqué, et hop, je récupère ton ID de session, je me connecte sur le site en tant qu'admin.
Pour corriger cette faille, il te faut utiliser htmlentities sur toutes les variables récupérées de l'utilisateur que tu utilises pour générer ton html. Par exemple faut pas faire  
echo $_GET['variable'];
mais :  
echo htmlentities($_GET['variable']);
 
On ne pourra plus faire exécuter de javascript.
D'une manière générale, il faut toujours se méfier de ce qui vient de l'utilisateur, et partir du principe que ton utilisateur est malveillant.
 
On voit que souvent tu utilises les variables utilisateurs telles qu'elles sont, par exemple dans la page pour voir les images, on peut mettre ce qu'on veut dans la variable, on voit que ça l'affiche, et ça cherche un répertoire correspondant, etc. Vaut mieux faire un switch sur la variable pour n'autoriser que certaines valeurs, et pas n'importe lesquelles.
Là, heureusement que tu as les magic quote activés, sinon tu serais dans une grosse merde  pour tes requêtes sql :x
 
Pour ce qui est de changer l'index du site, moi je pense que tout connement qqn a tes logins pour accéder au ftp. Ton pote les a ptet laissé trainer, vous les avez ptet laissé sur un mail, etc, etc.

n°1365497
petefoul
Posté le 12-05-2006 à 23:02:48  profilanswer
 

Ok merci pour tout ces conseils on va se pencher sur la question.
  Encore merci.

n°1878821
misterinc
Posté le 28-04-2009 à 15:13:10  profilanswer
 

Bonjour, mon site vient de se faire hacké.
Ils ont modifié la page d'accueil mais je ne sais pas comment ils ont fait...
Un peu d'aide serait la bienvenue sachant que pendant des années, tout s'était bien passé jusqu'à ce que je mette un fichier .htaccess pour protéger un répertoire

n°1878943
Profil sup​primé
Posté le 28-04-2009 à 17:44:56  answer
 

Salut,
Crée un sujet à toi déjà ce sera mieux et sans adresse/code on peut pas trop t'aider...

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Protection contre hack de site en php

 

Sujets relatifs
Redirection de site et liens relatifsHelp site 'piraté'
[.NET] Mettre du 1.1 et du 2.0 sur le même siteProbleme affiche de mon site sous FireFox
Besoind 'aide ,bug sur mon siteCréér des menus dans un site
Faire de la pub pour mon siteCherche tuto pour creation de site a à z
comment creer une partie admin sur son sitelire une video sur un site ....
Plus de sujets relatifs à : Protection contre hack de site en php


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR