Problème de sécuriter, outrepasser un htaccess

Discussion dans 'Administration d'un site Web' créé par guicara, 9 Février 2007.

Tags:
  1. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 558
    J'aime reçus:
    0
    Bonjour,

    Je suis victime d'un gros trou de sécurité sur l'un de mes sites.
    En effet, on ma démontrer que l'un de mes site était hackable.

    Mon dossier d'administration est protégé par un htaccess qui se présente ainsi :

    Code:
    SetEnvIfNoCase Request_URI \.ht(access|passwd)$ ban
    <Files ~ "^.*$">
    order allow,deny
    allow from all
    deny from env=ban
    </Files>
    
    Authname "...."
    AuthUserFile 	...../.htpasswd
    AuthGroupFile /dev/null
    AuthType Basic
    <limit GET POST>
    require valid-user
    </limit>
    Ensuite, le script php de gestion est protégé par mot de passe et identifiant. Ce hackeur qui m'a démontrer la vulnérabilité d'un de mes sites, a pu télécharger tous le contenu de mon dossier d'administration (htaccess, htpasswd ainsi que le script php (avec le fichier de configuration)).

    Comment est-ce possible ?

    Coïncidence ou pas, pendant cette intrusion, le site à vraiment charger, et j'ai eux de nombreuse fois une ligne d'erreur CGI !

    Comment palier à ce problème ?
    Que faire ?
    Un aspirateur ? Brutforce ?

    Merci !

    Ps : pour l'instant le site en question est hors service pour des mesures de sécurité.
     
  2. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    Si il a pu télécharger tous les fichiers vraissemblablement, c'est en ftp, pas en http.
    Es-tu sur qu'il n'a pas découvert ton mot de passe ?
     
  3. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 558
    J'aime reçus:
    0
    Je viens de tous changer, mots de passe basses de données et ftp. C'est quand même étrange, mon mot de passe est quand même assé long, (pleins de caractères différents etc...).

    En mutualisé, 1&1 est bien protégé contre les brut force par exemple ? Merci ;)
     
  4. biddybulle
    biddybulle WRInaute passionné
    Inscrit:
    30 Mai 2005
    Messages:
    1 428
    J'aime reçus:
    0
    restreint ton ftp a des ip définies

    Sinon vérifie la config de ton serveur FTP afin de limiter les tentatives de connexion via un utilisateur.

    Il connait le nom de L'user qui se log en FTP ?
     
  5. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 558
    J'aime reçus:
    0
    Merci, j'ai fais comme vous avez dit,
    pas de nouvelles attaques, éspéront, mais étrange tout çà quand même...
     
  6. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    ça veut dire quoi " ce hacker m'a demontré "

    en regle générale quand un hacker previent un admin que le site est vulnérable, il explique la vulnérabilité et donne des indications sur les modifs à effectuer

    rog
     
  7. guicara
    guicara WRInaute passionné
    Inscrit:
    2 Février 2006
    Messages:
    1 558
    J'aime reçus:
    0
    Excuse moi rog de te répondre si tard.
    Il faut croire qu'il n'est pas comme les autres, pour l'instant j'ai renforcer ma sécurité, une bonne chose déjà, j'ai mis des codes à 16 caractères hexadécimaux, on vera...
     
  8. fandecine
    fandecine WRInaute passionné
    Inscrit:
    2 Avril 2005
    Messages:
    1 873
    J'aime reçus:
    0
    Dans le cas d'une intrusion, la première chose à faire est de vérifier que les logiciels que tu utilise (serveur http, ftp, mail, ssh etc...) sont à jour, ensuite, verifie que les logiciels que tu utilise ne présentent pas de trous de sécurité. Les hackeurs cherchent en premier lieu les failles de sécurités connues! :wink:
     
Chargement...
Similar Threads - Problème sécuriter outrepasser Forum Date
Problèmes Données structurées Crawl et indexation Google, sitemaps Aujourd'hui à 09:07
problème avec mon site Demandes d'avis et de conseils sur vos sites Lundi à 15:35
Probleme tag sur Google tag manager Demandes d'avis et de conseils sur vos sites 24 Novembre 2022
Probleme Tag sur Google Tag Manager Google Analytics 18 Novembre 2022
Gros problème sur la profondeur de mes pages Problèmes de référencement spécifiques à vos sites 30 Septembre 2022
Problème de htaccess chez Ionos URL Rewriting et .htaccess 12 Septembre 2022
Problème sur jquery avec fonction asynchrone Développement d'un site Web ou d'une appli mobile 6 Septembre 2022
Problème de crawl et d'indexation Crawl et indexation Google, sitemaps 1 Septembre 2022
WordPress Problème affichage style avec Elementor (titre, bordures, separateur) Administration d'un site Web 8 Août 2022
Problème d'indexation de backlinks Débuter en référencement 24 Juillet 2022
Problème d'indexation de backlinks Problèmes de référencement spécifiques à vos sites 21 Juillet 2022
Probleme de visibilité de ma page Facebook Facebook 5 Juillet 2022
problème avec le développeur Droit du web (juridique, fiscalité...) 22 Juin 2022
Problème désindexation des pages de Google Débuter en référencement 21 Juin 2022
Problème d'indexation de pages sur Google Problèmes de référencement spécifiques à vos sites 31 Mai 2022
problème de redirection non souhaitée Administration d'un site Web 28 Avril 2022
Problème d'indexation Produits Prestashop Crawl et indexation Google, sitemaps 28 Avril 2022
Problème d'affichage des campagnes Google Ads dans un tableau de bord Data Studio AdWords 26 Avril 2022
Problème de vitesse d'affichage des pages sur Analytics Google Analytics 26 Avril 2022
Problème : Google Crawl et Index des pages en No Index et bloqué par le robot.txt Crawl et indexation Google, sitemaps 26 Avril 2022