Salut tout le monde,

Mon site a récemment (ds les 2 derniers mois) été victime de plusieurs defacages (remplacement du fichier index a la racin), 3 ou 4...

Apparemment, il s'agirait d'une faille de securite (dixit support OVH, sans autre precision) d un de mes scripts PHP mais je ne sais pas trop comment la trouver...
Je peux retrouver l ip du defaceur en analysant les logs apache (je pense) ms pour boucher le trou, faudrait que je le connaisse.
Le site de PhpSecure ne contient rien sur mes scripts donc je ne sais trop comment m y prendre ! :(

Existe t il des scripts legaux pr tester qqs failles connues ou qqchose du genre ?

Merci
Xavier

En gros regarde a quelle heure exacte ton fichier à été modifié, puis regarde tes log apache a partir de 5 minutes avant et cherhce quelque chose de bizarre. Du style :
index.php?page=wget ....

La grosse parties des trou de securité php viennent de la non verification des variables passé en url.

Tu ne fais pas quelque part quelque chose du genre :

include("$variable");




Quentin

Si tu as l'IP du defaceur, tu regarde dans tes logs le script qu'il a appellé, et avec quels paramètres, ça t'aidera à trouver le script incriminè.
Ensuite, pense à changer tes MdP de FTP, SQL, ...
et enfin, applique quelques règles dans tout tes scripts : vérifier toute variable pouvant venir de l'extérieur (GET, POST, formulaires, ...), ne pas faire d'include de ces variables non protégées, protéger tes requêtes MySQL, ...

j ai recup son IP et le code dont il s'est servi, y a t il un organisme (ou a OVH) a qui il faudrait soumettre les ips ou ca ne sert pas a gd chose ?

j'ai compris effectivement qu il utilisait wget... grace a une variable globale d un script que j ai recup sur le net qui avait l air connu...

je ne comprends pas comment il arrive a executer le wget ms bon, ce sera pr plus tard !

est ce qu en attendant de supprimer les vars globales (cf mon autre sujet), le fait de renommer cette variable ds tout le code peut proteger un peu ou est ce que c facile de retrouver son nom ?

Merci pour les reponses deja emises ! :)

Ben , la plupart du temps le gars accede a ton site depuis une autre machine déjà hackée (une adsl quelque part). Donc tu peux le signaler mais ça ne sert pas a grand chose. (Du moins pour le retrouver). Au moins le piraté sera mis au courant.

envois une fois la ligne du log apache avec le wget si tu veux bien. J'ai un client qui s'est fait pirater y a une semaine. En gros il prenait un txt avec le wget, du coup le txt s'executait dedans uils downloadais des sources d'un mini proxy vers le rep /tmp/ la il le compile l'execute , et hop un serveur proxy sur le port xxx de dispo pour lui. Tout ça en une ligne.


Quentin

oui pareil, il utilise un .txt que j'ai récupéré

pour la ligne de code, je ne pense que ce soit tres prudent de la mettre ici, ca peut donner des idees !

donne moi un mail & je t'envoie ca (dommage les pm sont desactives ici)

En local, dans ton php.ini register_globals = OFF et error_reporting = E_ALL.

Ensuite tu corrige ton site jusqu'à ce qu'il n'y aie plus d'erreur ou d'avertissement. Une fois que ce sera fait tu auras réglé un gros trou de sécurité de ton site....

excusez mon ignoranc emais quel est le fichier de log ou l'on peu faire les recherche?

logsh.ovh.net/nomdedomaine

les login/pass sont ceux de ton manager