Problème original à résoudre

[slender]

avant d'exposer certains faits bizarres qui m'arrivent, je pose la question suivante:
Est-il possible de recevoir des requêtes (tout au moins des tentatives d'accès) sur une des tables contenues dans une base de données mysql située en local (easyphp) à partir de l'extérieur?

[Fan2]

Salut !
Dans la mesure ou 'localhost' ne désigne rien de plus que ta propre IP, il me semble que c'est possible en effet... Si tu utilises les memes login et mot de passe que tout le monde ou presk sur easyphp ("root" et ""), ça confirme que ta bdd est potentiellement interrogeable, à distance ou non...

A creuser, je ne suis pas certain de ce que j'avance, mais l'idée me semble plausible...

[Haq]

oui...

[slender]

j'expose les faits:
je travaille en php local (easyphp) pour mettre au point la dernière version de mon site. Ces derniers temps j'ai écrit un module de tracking destiné à avoir un meilleur reflet de mes visiteurs - j'ai donc créé une table "tracking" dans laquelle j'enregistre Ip, requete, refere, navigateur, timestamp et quelques données utilisateur.
Ce module est simple, il est appelé dans un include pour chaque page, rien à dire là-dessus. Je ne m'en occupais pas depuis un certain temps car je n'ai pas encore écrit le programme d'exploitation des données. Mais aujourd'hui je suis allé jeter un coup d'oeil sur les données enregistrées dans cette table tracking et quel ne fut pas mon étonnement de trouver des enregistrements bizarres constitués uniquement d'un ip, pas le mien, jamais le même. et du timestamp, pas de referer, pas de requete.
Voulant en savoir plus sur le probleme, j'ai dans un premier temps cessé de tester mon programme en local puisque la seule entrée dans cette table ne se fait qu'à partir de lui. Je me suis mis sous 'invite de commande' et je fais un select de la table 'tracking' toutes les minutes. Je vois qu'un enregistrement se fait dans cette table à peu près toutes les minutes...
Ca fait froid dans le dos si on accède comme ça à ma base.

Que feriez vous dans un premier temps pour localiser le probleme. Je dois signaler que suite à un fort ralentissement de mon PC ces derniers temps, j'avais trouvé hier et effacé 2 chevaux de troie. Apparemment ils ont fait du dégat.

Ce que je comprend pas c'est que l'enregistrement puisse se faire.

<edit>PS: je suis protégé (hum hum) par kerio </edit>

[Fan2]

Après vérification, il s'avèrerait que les fichiers de configuration de MySQL installés par EasyPhp brident les connexions au strict niveau local (meme pas moyen d'y accéder depuis le réseau). Autrement dit, si tu n'as pas touché à la config d'origine, aucune raison d'avoir ce type d'intrusion.

++

[slender]

@fan2
et si un troyen venait mettre en place des modifs au niveau de la config?

[[David]]

Il me semble que Eaysy PHP n'accepte que les connections locale, et que PMA est proteger par un htacess, ou aussi accecible qu'en local!

Donc pour moi, c'est non

[Fan2]

...et si un troyen venait mettre en place des modifs au niveau de la config?

Ce serait moche !!
Perso, et dans le doute, je réinstallerai easyPhp, pour retomber sur la config d'origine. Changement du couple login mdp pour + de sécu, et puis si tu as vraiment des ennuis de backdoor : scanne, filtre, analyse, vérifies, bref, fais ce qu'il faut pour fermer les portes

Bon courage !

[slender]

ouais c'est ce que je vais faire, tout réinstaller y compris win2000, php upgradé et une protection un peu plus béton. Ces saloperies de troyens je me les suis fait refiler dans le pack d'un outil logiciel permettant de pondre du code wap. Pas assez méfiant... ça tue ces trucs là

[slender]

PMA est proteger par un htacess

j'avais en son temps modifié mon htacces à la racine pour pouvoir tester de l'url_rewriting, j'ai aussi modifié le httpd.conf d'apache..

[freddyfromparis]

Question bête: tu as un firewall ? parce que si c'est le cas, tu bloques le port 80 (au moins), et aucune requête n'atteindra ton PC...

Et de toute façon, si tu es, comme c'est mon cas, un abonné lambda de FAI, tu ne possèdes pas d'IP, mais un "host" du type abo.fai.laville.com.etc qui ne permet pas de se connecter à ta machine.

SI ta problématique est inverse et qu'au contraire tu souhaites ouvrir ta machine sur l'internet, il faut donc ouvrir le traffic sur le port 80 (si firewall), et souscrire un service du type DynDNS (http://www.dyndns.org)

[slender]

ouais je suis protégé par kerio
je vais le reconfigurer en suivant ces régles
http://babin.nelly.free.fr/kerio.htm

[Boeing]

Question bête: tu as un firewall ? parce que si c'est le cas, tu bloques le port 80 (au moins), et aucune requête n'atteindra ton PC...

Et de toute façon, si tu es, comme c'est mon cas, un abonné lambda de FAI, tu ne possèdes pas d'IP, mais un "host" du type abo.fai.laville.com.etc qui ne permet pas de se connecter à ta machine.

SI ta problématique est inverse et qu'au contraire tu souhaites ouvrir ta machine sur l'internet, il faut donc ouvrir le traffic sur le port 80 (si firewall), et souscrire un service du type DynDNS (http://www.dyndns.org)

Archi faux, chaque pc sur le net à une IP!
On peut avoir l'ip à partir du host en 2sec !

[Erazor]

<edit>PS: je suis protégé (hum hum) par kerio </edit>

test de sécurité en ligne pour le niveau de ta protection
http://check.sdv.fr

[Didier_S]

test de sécurité en ligne pour le niveau de ta protection
http://check.sdv.fr

Vu chez eux :
"Pour ameliorer votre sécurité vous pouvez installer un logiciel pare feu.
Zone Alarm est un bon logiciel par feu gratuit pour une utilisation personnelle."
mouahahahaha
comme quoi la définition de "bon" dépend du contexte culturel...