Solution : mettre en echec les attaques "Eval base64_decode"

gnozys · 2 Février 2010

Bonjour,

Voir ici pour plus d'info https://www.webrankinfo.com/forum/t/bane-ip-72-46-130-186-hacker-bot.120886/

Voila une formule issue du laboratoire de recherche perso d'un ami :lol: pour éradiquer les types d'attaques les plus utilisés du moment "attak-shell" exploitant "eval(base64_decode... :twisted: "!

Ce type d'attaque exploite des pages mal-codées ou par mauvaise protection du serveur. Il permet de modifier les contenus de pages/récupérer les identifiants serveurs et configuration / récupère la base de données / manipulation à distance de vos sites sur un serveur attaqué / destruction immédiate des sites se trouvant sur un serveur attaqué.

Vigilance : Tous sites possédant un espace d'upload sont les cibles de l'attaque, en majeur partie elle est executée par un membre du même site.

Dans php.ini mettre les lignes suivantes (php.ini à créer à la racine du dossier pour les 1&1 hosting) :
Code:
    
    allow_url_fopen = Off;
    disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
    ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)

Merci à tous ! :mrgreen:
Gnozys.
(Piste par http://twitter.com/bykepler)

hurdleur · 9 Mai 2010

Bonjour,

Avez vous fait une erreur pour la fonction parse_ni_file, c'est bien parse_ini_file que vous vouliez écrire ???

merci.

lenono · 10 Mai 2010

PAs forcément de l'upload, ça peut aussi etre de l'inclusion de page dont le nom est passé en paramètre, et qui n'est pas vérifié dans le script ensuite.
Ce qui fait une inclusion d'une page distante, exécutée sur ton serveur, et boum...
Les failles de sécurité sont plus dues à une mauvaise programmation (tout le monde y passe...), plutot qu'à une finesse de réglage des logiciels (même si c'est complémentaire, bien sur !)

Arnaud

taface3D · 3 Décembre 2010

Et les solutions classiques ne sont pas suffisantes ?

- Vérification de la forme du nom du fichier
- Vérification du type (vérif avec la librairie GD sur le jpg par exemple)
- Vérif de GET ou POST
- Vérif du referer et du User-Agent
etc.

?

Similar Threads - Solution mettre echec	Forum	Date
Plateforme - Solution publicitaire intégrée aux éditoriaux.	Demandes d'avis et de conseils sur vos sites	28 Octobre 2019
Bonne extension ou solution de petites annonces	Développement d'un site Web ou d'une appli mobile	2 Octobre 2019
Les annuaires sont-ils la solution du référencement d'un site ?	Annuaires et moteurs	14 Mai 2019
Campagne adwords sans aucun retour, quelle solution ?	AdWords	6 Janvier 2019
Solution : Redirections de nombreuses pages	Débuter en référencement	6 Novembre 2018
Vol de photos ya t-il une solution efficace?	Droit du web (juridique, fiscalité...)	9 Avril 2018
Quelle solution de forum utiliser pour migration phpbbseo ?	Demandes d'avis et de conseils sur vos sites	11 Mars 2018
Solution de paiement pour gros montants	e-commerce	4 Mars 2018
Solutions de paiement en ligne, Ecommerce	e-commerce	23 Janvier 2018
Bjr Comment trouver 3 problématiques non résolues qui ne présentent pas de solution ?	Débuter en référencement	23 Octobre 2017