XavierB
25/03/2004, 06h23
logsh.ovh.net/nomdedomaine
les login/pass sont ceux de ton manager
les login/pass sont ceux de ton manager
Sécurité de scripts
lienty
22/03/2004, 07h37
excusez mon ignoranc emais quel est le fichier de log ou l'on peu faire les recherche?
Nonothehobbit
17/02/2004, 14h55
En local, dans ton php.ini register_globals = OFF et error_reporting = E_ALL.
Ensuite tu corrige ton site jusqu'à ce qu'il n'y aie plus d'erreur ou d'avertissement. Une fois que ce sera fait tu auras réglé un gros trou de sécurité de ton site....
Ensuite tu corrige ton site jusqu'à ce qu'il n'y aie plus d'erreur ou d'avertissement. Une fois que ce sera fait tu auras réglé un gros trou de sécurité de ton site....
XavierB
12/02/2004, 18h04
oui pareil, il utilise un .txt que j'ai récupéré
pour la ligne de code, je ne pense que ce soit tres prudent de la mettre ici, ca peut donner des idees !
donne moi un mail & je t'envoie ca (dommage les pm sont desactives ici)
pour la ligne de code, je ne pense que ce soit tres prudent de la mettre ici, ca peut donner des idees !
donne moi un mail & je t'envoie ca (dommage les pm sont desactives ici)
quentin
12/02/2004, 16h41
Ben , la plupart du temps le gars accede a ton site depuis une autre machine déjà hackée (une adsl quelque part). Donc tu peux le signaler mais ça ne sert pas a grand chose. (Du moins pour le retrouver). Au moins le piraté sera mis au courant.
envois une fois la ligne du log apache avec le wget si tu veux bien. J'ai un client qui s'est fait pirater y a une semaine. En gros il prenait un txt avec le wget, du coup le txt s'executait dedans uils downloadais des sources d'un mini proxy vers le rep /tmp/ la il le compile l'execute , et hop un serveur proxy sur le port xxx de dispo pour lui. Tout ça en une ligne.
Quentin
envois une fois la ligne du log apache avec le wget si tu veux bien. J'ai un client qui s'est fait pirater y a une semaine. En gros il prenait un txt avec le wget, du coup le txt s'executait dedans uils downloadais des sources d'un mini proxy vers le rep /tmp/ la il le compile l'execute , et hop un serveur proxy sur le port xxx de dispo pour lui. Tout ça en une ligne.
Quentin
XavierB
12/02/2004, 16h04
j ai recup son IP et le code dont il s'est servi, y a t il un organisme (ou a OVH) a qui il faudrait soumettre les ips ou ca ne sert pas a gd chose ?
j'ai compris effectivement qu il utilisait wget... grace a une variable globale d un script que j ai recup sur le net qui avait l air connu...
je ne comprends pas comment il arrive a executer le wget ms bon, ce sera pr plus tard !
est ce qu en attendant de supprimer les vars globales (cf mon autre sujet), le fait de renommer cette variable ds tout le code peut proteger un peu ou est ce que c facile de retrouver son nom ?
Merci pour les reponses deja emises !
j'ai compris effectivement qu il utilisait wget... grace a une variable globale d un script que j ai recup sur le net qui avait l air connu...
je ne comprends pas comment il arrive a executer le wget ms bon, ce sera pr plus tard !
est ce qu en attendant de supprimer les vars globales (cf mon autre sujet), le fait de renommer cette variable ds tout le code peut proteger un peu ou est ce que c facile de retrouver son nom ?
Merci pour les reponses deja emises !
L.Boggio
12/02/2004, 15h18
Si tu as l'IP du defaceur, tu regarde dans tes logs le script qu'il a appellé, et avec quels paramètres, ça t'aidera à trouver le script incriminè.
Ensuite, pense à changer tes MdP de FTP, SQL, ...
et enfin, applique quelques règles dans tout tes scripts : vérifier toute variable pouvant venir de l'extérieur (GET, POST, formulaires, ...), ne pas faire d'include de ces variables non protégées, protéger tes requêtes MySQL, ...
Ensuite, pense à changer tes MdP de FTP, SQL, ...
et enfin, applique quelques règles dans tout tes scripts : vérifier toute variable pouvant venir de l'extérieur (GET, POST, formulaires, ...), ne pas faire d'include de ces variables non protégées, protéger tes requêtes MySQL, ...
quentin
12/02/2004, 15h17
En gros regarde a quelle heure exacte ton fichier à été modifié, puis regarde tes log apache a partir de 5 minutes avant et cherhce quelque chose de bizarre. Du style :
index.php?page=wget ....
La grosse parties des trou de securité php viennent de la non verification des variables passé en url.
Tu ne fais pas quelque part quelque chose du genre :
include("$variable");
Quentin
index.php?page=wget ....
La grosse parties des trou de securité php viennent de la non verification des variables passé en url.
Tu ne fais pas quelque part quelque chose du genre :
include("$variable");
Quentin
XavierB
12/02/2004, 14h35
Salut tout le monde,
Mon site a récemment (ds les 2 derniers mois) été victime de plusieurs defacages (remplacement du fichier index a la racin), 3 ou 4...
Apparemment, il s'agirait d'une faille de securite (dixit support OVH, sans autre precision) d un de mes scripts PHP mais je ne sais pas trop comment la trouver...
Je peux retrouver l ip du defaceur en analysant les logs apache (je pense) ms pour boucher le trou, faudrait que je le connaisse.
Le site de PhpSecure ne contient rien sur mes scripts donc je ne sais trop comment m y prendre !
Existe t il des scripts legaux pr tester qqs failles connues ou qqchose du genre ?
Merci
Xavier
Mon site a récemment (ds les 2 derniers mois) été victime de plusieurs defacages (remplacement du fichier index a la racin), 3 ou 4...
Apparemment, il s'agirait d'une faille de securite (dixit support OVH, sans autre precision) d un de mes scripts PHP mais je ne sais pas trop comment la trouver...
Je peux retrouver l ip du defaceur en analysant les logs apache (je pense) ms pour boucher le trou, faudrait que je le connaisse.
Le site de PhpSecure ne contient rien sur mes scripts donc je ne sais trop comment m y prendre !
Existe t il des scripts legaux pr tester qqs failles connues ou qqchose du genre ?
Merci
Xavier