OVH Community, votre nouvel espace communautaire.

Hackage sur mon site - sécurité à mettre en place


buddy
16/02/2013, 16h44
Salut,

même si c'est ton ip qui revient tu es sur que ton pc n'a pas servi de proxy ? tu es bien à l'origine de toutes ses connexions ?
Après, comme dis au-dessus,
les ips ci-dessus 157.55.32.117 et 157.55.32.96 correspondent à des ips de bing / microsoft...
c'est donc que ton système fonctionne mal puis bing / microsoft est passé ...

Après, çà ne sera pas beaucoup plus sécure mais tu pourrais déjà rajouter dans l'url un id session... si l'ID est valide on continue, si non, on exit() tout avec un code 404 not found.
çà ne sera pas beaucoup plus sécure mais çà sera déjà ca.

Si le problème vient des robots, tu peux aussi leur dire via robots.txt de ne plus indexer cette page...

Si tu es en ip fixe, tu peux limiter l'accès à ta seule ip.
Tu récupères l'ip via une variable PHP. Tu la compares avec ton ip fixe. Si c'est différent tu exit() et renvoie 404 not found.

tu peux aussi bloquer des plages d'ip ou des USER Agent via .htaccess ...

meeea
14/02/2013, 12h25
Citation Envoyé par Nowwhat
Bonjour,

Attention: si le type à réussi à 'télé déposer' un fichier script sur ton hébergement qui permet de lire - lister - éditer tes autres scripts déjà présent, il aura accès à tout.

Soit, le type habite dans ton ordi (3 sur 10 sont infectés avec des Trojans en France), le type possède donc l'accès FTP - t'es aller voir le log d'accès FTP ? - et il possède donc la source de toutes tes fichiers.
Normalement pas de soucis de ce coté là, j'ai vérifié les logs FTP, tout est ok, et il n'y a que mon adresse IP qui revient. De plus je suis sur un hébergement mutualisé, dans lequel j'héberge plusieurs sites, un seul a été attaqué.

Nowwhat
14/02/2013, 12h05
Bonjour,

Attention: si le type à réussi à 'télé déposer' un fichier script sur ton hébergement qui permet de lire - lister - éditer tes autres scripts déjà présent, il aura accès à tout.

Soit, le type habite dans ton ordi (3 sur 10 sont infectés avec des Trojans en France), le type possède donc l'accès FTP - t'es aller voir le log d'accès FTP ? - et il possède donc la source de toutes tes fichiers.

meeea
14/02/2013, 10h59
Effectivement je peux accéder à une adresse en https, mais ce que je ne comprend pas c'est que mon adresse, ici en l’occurrence ma page de suppression del sera accessible en http tout de même.

Comment dois-je faire pour bloquer l'accès en http de mon admin ou de mon script del, et l'autoriser en https.

Merci pour vos réponses.

meeea
14/02/2013, 10h47
A vrai dire je ne m'y connais pas trop en hack et sécurité, mais normalement sans session, donc sans être logger tu ne peux pas accéder à l'admin, donc comment connaitre l'adresse exact du fichier qui exécute le script, et surtout comment connaitre la variable qu'il faut lui envoyer. Et comment passer au travers des sessions.

Une simple réecriture d'URL ne peut pas améliorer la chose, sans passer par du https

fritz2cat
13/02/2013, 19h57
Citation Envoyé par meeea
157.55.32.117 www.mondomaine.fr - [01/Jan/2013:16:29:24 +0100] "GET /chemin/page.php?inclusion=del&identifiant=1&matable=artic le HTTP/1.1" 200 3877

157.55.32.96 www.mondomaine.fr - [30/Dec/2012:06:05:58 +0100] "GET /chemin/page.php?var=\xc3\x83\xc2\xa8me%20/%20S\xc3\x83\xc2\xa9&inclusion=del&identifiant=1&m atable=article HTTP/1.1" 200 3877
Je vois surtout que c'est MSN / Bing qui a indexé tes pages, tu t'es peut-être fait hacker par Microsoft...

Frédéric

xerkos
13/02/2013, 18h00
Si j'en crois la construction de tes urls, on voit tous dans les paramètres envoyés au serveur: le nom de la table, l'action, ...
Pour peu que tu utilises du http (et non du https) et que tu fasses des opérations sur un réseau que tu ne maîtrises pas. N'importe quel malin qui sniffe ce qui passe peut hacker ton site.

je dirai que le B-A BA consiste à sécurité son authentification avec du https.... sinon c'est la fête sur le réseau par lequel tu fais transiter ton login / mot de passe.

meeea
13/02/2013, 17h19
Bonjour tout le monde,

Je viens d'avoir mon site hacker.
Je vous explique très rapidement le fonctionnement.
J'ai développé une administration avec une connexion par session, si la session n'est pas active, tu sors de l'admin.
Ensuite pour supprimer des informations, par exemple des articles, dans l'administration j'accède à un fichier "del" et envoi des informations en Get, par exemple le nom de la table, et l'id de l'article à supprimer.
En accédant à cette page, je demande une confirmation par le biais d'un simple clic (OUI/NON), et si l'on clique sur oui, on renvoi la page "del" de suppression avec un champ supplémentaire confirm=yes.
Quand j’accède à ensuite à la page "del", je ne lance ma requête de suppression que si la variable confirm=yes est présente. Sachant que pour cette page "del" je dois avoir ma session d'active.

Je me demande donc tout d'abord comment le hacker a pu récupérer le nom de mes tables, et surtout comment il a pu lancer le script de suppression sans être connecté et sans avoir de session active.

Pour infos voici un exemple de logs :
157.55.32.117 www.mondomaine.fr - [01/Jan/2013:16:29:24 +0100] "GET /chemin/page.php?inclusion=del&identifiant=1&matable=artic le HTTP/1.1" 200 3877

157.55.32.96 www.mondomaine.fr - [30/Dec/2012:06:05:58 +0100] "GET /chemin/page.php?var=\xc3\x83\xc2\xa8me%20/%20S\xc3\x83\xc2\xa9&inclusion=del&identifiant=1&m atable=article HTTP/1.1" 200 3877

Quelqu'un pourrait-il m'aiguiller pour mieux comprendre ce que je dois améliorer.

Merci