que faire pour se protéger après une tentative de hacking ?

Discussion dans 'Administration d'un site Web' créé par chili palmer, 15 Octobre 2006.

  1. chili palmer
    chili palmer WRInaute discret
    Inscrit:
    16 Décembre 2005
    Messages:
    93
    J'aime reçus:
    0
    Bonjour,

    J'ai eut il y a quelques dizaine de minute une tentative de hacking sur un de mes site hébergé sous free !!! heureusement une faible protection de mon livre d'or à suffit (il me semble) à empecher le lamerz de concretiser son attaque , je possède donc dans l'un de mes message de livre d'or ce message avec entre autre son IP.


    Y t'il quelque chose à faire après une tentative... de façon à lui faire passer le goût de recommencer ?

    merci d'avance de vos réponses
     
  2. IceWeather
    IceWeather Nouveau WRInaute
    Inscrit:
    7 Octobre 2006
    Messages:
    6
    J'aime reçus:
    0
    Code:
    //A L'arrache
    
    $trouve=false;
    
    $pos = strpos($mystring, "alert"); 
    if($pos===false){}
    else$trouve=true;
    
    $pos = strpos($mystring, "body"); 
    if($pos===false){}
    else$trouve=true;
    
    $pos = strpos($mystring, "onload"); 
    if($pos===false){}
    else$trouve=true;
    
    $pos = strpos($mystring, "hack"); //Attention si tu as besoin de imageshack.us  :lol: 
    if($pos===false){}
    else$trouve=true;
    
    if(!$trouve) enregistre();
    else pasenregistre();
    Faut faire attention à la casse min/majuscule etc... aussi
    Dans pasenregistre tu px logguer l'ip, le mettre automatiquement dans /etc/hosts.deny pour un certain temps etc...
     
  3. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    Non. Aucune légale.
     
  4. thierry8
    thierry8 WRInaute accro
    Inscrit:
    11 Juillet 2005
    Messages:
    2 728
    J'aime reçus:
    0
    si cela s'affiche correctement dans ton livre d'or, tu n'aura aucun pb...
    cela signifie que tu gère correctement la reception/l'affichage des données.
     
  5. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    IceWeather, ca ne l'empechera de recommencer ça. Ca le dissuadera pas du tout ...
    Le mec a vu qu'il ne pouvait le faire sur ce livre d'or, il ne va pas retenter ...
     
  6. IceWeather
    IceWeather Nouveau WRInaute
    Inscrit:
    7 Octobre 2006
    Messages:
    6
    J'aime reçus:
    0
    Ca évite que du code bidon se retrouve dans le livre d'or, meme si il ne s'execute pas c'est pas très joli...
     
  7. Serious
    Serious WRInaute passionné
    Inscrit:
    21 Novembre 2005
    Messages:
    1 834
    J'aime reçus:
    0
    De toute facon, c'est un bot.
     
  8. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    lol

    ce n'est pas tout à fait une tentative de piratage de ton site

    c'est juste une verification si ton script est vulnerable à XSS

    rog
     
  9. thierry8
    thierry8 WRInaute accro
    Inscrit:
    11 Juillet 2005
    Messages:
    2 728
    J'aime reçus:
    0
    je ne suis pas d'accord avec le terme : "une vérification"

    c'est bel et bien une tentative de piratage...

    le gars on ne lui à rien demandé..hein..! faut pas confondre les loups avec les moutons :twisted:
     
  10. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    une faille XSS n'affecte en rien le server, au pire ça permet de piquer un cookie qui je le concede pourrait permettre à l'attaquant un acces admin d'un script mal conçu si le cookie est celui de l'admin

    l'injection de code ne concerne qu'un javascript alert qui ne pretend voler aucune info ni pirater quoi que soit

    tant que tu auras des "tentatives de piratage" de ce type, tu peux dormir tranquillement

    rog
     
  11. chili palmer
    chili palmer WRInaute discret
    Inscrit:
    16 Décembre 2005
    Messages:
    93
    J'aime reçus:
    0
    Merci pour toutes ces infos :wink:
     
  12. thierry8
    thierry8 WRInaute accro
    Inscrit:
    11 Juillet 2005
    Messages:
    2 728
    J'aime reçus:
    0
    on est d'accord :wink: 8)
     
  13. utb_diablo
    utb_diablo Nouveau WRInaute
    Inscrit:
    13 Janvier 2007
    Messages:
    2
    J'aime reçus:
    0
    bonzour tt le monde ^^

    lol je dois avouer avoir été assez surpris de voir que mon attque XSS a été prise au sérieux

    Bon maintenant mettons les choses au clair

    Cette attaque n'avait pas pour but de te nuire, comme le remarque rog, une attaque XSS n'est pas vraiment dangereuse pour le webmaster. Non mon attaque avait plutot pour but de te faire comprendre que ton livre d'or n'était pas sécurisé. Et soyons honnetes si cette attaque n'avait pas eu lieu, tu n'aurais jamais pensé à chercher des moyens de sécurité pour d'éventuelles futures attaques ;)

    Si je peux te donner un conseil pour te protéger d'attaques aussi grotesques, tu devrais vérifier les informations qui circulent entre ton serveur et l'utilisateur.

    Par exemple, ici un simple htmlentities() en php aurait suffit pour stopper l'attaque, doublé d'un addslashes() la protection aurait été optimale.

    Donc je pense que c'est, je ne suis ni un lamer ni un robot, j'aide les webmasters debutants à sécuriser leur site en leur faisant prendre conscience que ce n'est pas le cas.

    Enjoy !

    PS :

    J'ai pris cette faille comme un appel au secours :D
     
  14. utb_diablo
    utb_diablo Nouveau WRInaute
    Inscrit:
    13 Janvier 2007
    Messages:
    2
    J'aime reçus:
    0
    Juste pour dernières infos, on croit les failles javascript négligeables,mais il est très facile de récupérer les cookies et ainsi choper le pas de l'admin.

    Pensez-y
     
Chargement...
Similar Threads - protéger après tentative Forum Date
apres les images voici comment proteger son code html ;) Administration d'un site Web 16 Juillet 2005
L'antivirus est-il utile pour protéger les données professionnelles? Le café de WebRankInfo 17 Septembre 2020
Protéger mes fichiers d'un lien extérieur URL Rewriting et .htaccess 18 Avril 2016
Protéger un application web (site local) Droit du web (juridique, fiscalité...) 17 Juin 2014
Protéger mon ndd antérieur à une marque qui m'a contacté Droit du web (juridique, fiscalité...) 7 Avril 2014
Comment protéger son site contre les jQuery externes ? Droit du web (juridique, fiscalité...) 19 Octobre 2013
Peut-on protéger son site avec un copyright / huissier ? Droit du web (juridique, fiscalité...) 2 Mai 2013
Comment protéger son site pour pas être recopié ? Développement d'un site Web ou d'une appli mobile 25 Mars 2013
Proteger mes page par des session! Administration d'un site Web 23 Mars 2013
Comment protéger son ebook qui est placé dans le serveur contre les moteurs de recherche Demandes d'avis et de conseils sur vos sites 19 Décembre 2012
Generateur de .htaccess dans le dossier à protéger Développement d'un site Web ou d'une appli mobile 29 Novembre 2012
comment protéger ses vidéos? YouTube, Google Images et Google Maps 8 Juin 2012
Déposer une marque et protéger son site internet. Y a t il un intéret? Noms de domaine et référencement 5 Avril 2012
Comment se protéger sur un système de prêt de matériel ? e-commerce 16 Juillet 2011
Comment faire mon htaccess (ou autre solution) pour protéger dossier? URL Rewriting et .htaccess 5 Mai 2011
Proteger son site URL Rewriting et .htaccess 14 Novembre 2010
Proteger son site avec un Copyright Développement d'un site Web ou d'une appli mobile 29 Septembre 2010
Proteger mon blog... Droit du web (juridique, fiscalité...) 17 Avril 2010
Sécuriser/protéger un site contre d'éventuelles attaques Développement d'un site Web ou d'une appli mobile 12 Mars 2010
Innovation d'un site comment le protéger ? Droit du web (juridique, fiscalité...) 20 Janvier 2010