Solution : mettre en echec les attaques "Eval base64_decode"

Discussion dans 'Administration d'un site Web' créé par gnozys, 2 Février 2010.

  1. gnozys
    gnozys Nouveau WRInaute
    Inscrit:
    24 Juin 2009
    Messages:
    8
    J'aime reçus:
    0
    Bonjour,

    Voir ici pour plus d'info https://www.webrankinfo.com/forum/t/bane-ip-72-46-130-186-hacker-bot.120886/

    Voila une formule issue du laboratoire de recherche perso d'un ami :lol: pour éradiquer les types d'attaques les plus utilisés du moment "attak-shell" exploitant "eval(base64_decode... :twisted: "!

    Ce type d'attaque exploite des pages mal-codées ou par mauvaise protection du serveur. Il permet de modifier les contenus de pages/récupérer les identifiants serveurs et configuration / récupère la base de données / manipulation à distance de vos sites sur un serveur attaqué / destruction immédiate des sites se trouvant sur un serveur attaqué.

    Vigilance : Tous sites possédant un espace d'upload sont les cibles de l'attaque, en majeur partie elle est executée par un membre du même site.

    Dans php.ini mettre les lignes suivantes (php.ini à créer à la racine du dossier pour les 1&1 hosting) :

    Code:
        
        allow_url_fopen = Off;
        disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
        ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
    
    Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)

    Merci à tous ! :mrgreen:
    Gnozys.
    (Piste par http://twitter.com/bykepler)
     
  2. hurdleur
    hurdleur Nouveau WRInaute
    Inscrit:
    18 Mai 2008
    Messages:
    2
    J'aime reçus:
    0
    Bonjour,

    Avez vous fait une erreur pour la fonction parse_ni_file, c'est bien parse_ini_file que vous vouliez écrire ???

    merci.
     
  3. lenono
    lenono WRInaute discret
    Inscrit:
    4 Septembre 2006
    Messages:
    71
    J'aime reçus:
    0
    PAs forcément de l'upload, ça peut aussi etre de l'inclusion de page dont le nom est passé en paramètre, et qui n'est pas vérifié dans le script ensuite.
    Ce qui fait une inclusion d'une page distante, exécutée sur ton serveur, et boum...
    Les failles de sécurité sont plus dues à une mauvaise programmation (tout le monde y passe...), plutot qu'à une finesse de réglage des logiciels (même si c'est complémentaire, bien sur !)

    Arnaud
     
  4. taface3D
    taface3D Nouveau WRInaute
    Inscrit:
    3 Décembre 2010
    Messages:
    6
    J'aime reçus:
    0
    Et les solutions classiques ne sont pas suffisantes ?

    - Vérification de la forme du nom du fichier
    - Vérification du type (vérif avec la librairie GD sur le jpg par exemple)
    - Vérif de GET ou POST
    - Vérif du referer et du User-Agent
    etc.

    ?
     
Chargement...
Similar Threads - Solution mettre echec Forum Date
Bonne extension ou solution de petites annonces Développement d'un site Web ou d'une appli mobile 2 Octobre 2019
Les annuaires sont-ils la solution du référencement d'un site ? Annuaires et moteurs 14 Mai 2019
Campagne adwords sans aucun retour, quelle solution ? AdWords 6 Janvier 2019
Solution : Redirections de nombreuses pages Débuter en référencement 6 Novembre 2018
Vol de photos ya t-il une solution efficace? Droit du web (juridique, fiscalité...) 9 Avril 2018
Quelle solution de forum utiliser pour migration phpbbseo ? Demandes d'avis et de conseils sur vos sites 11 Mars 2018
Solution de paiement pour gros montants e-commerce 4 Mars 2018
Solutions de paiement en ligne, Ecommerce e-commerce 23 Janvier 2018
Bjr Comment trouver 3 problématiques non résolues qui ne présentent pas de solution ? Débuter en référencement 23 Octobre 2017
Gestion de mots-clefs, quelle solution choisiriez-vous ? Développement d'un site Web ou d'une appli mobile 16 Mars 2017
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice