Solution : mettre en echec les attaques "Eval base64_decode"
4 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
- gnozys
- Nouveau WRInaute
- Messages: 15
- Inscription: 24 Juin 2009
Solution : mettre en echec les attaques "Eval base64_decode"
le Mar Fév 02, 2010 12:30
Bonjour,
Voir ici pour plus d'info http://forum.webrankinfo.com/bane-130-186-hacker-bot-t120886.html
Voila une formule issue du laboratoire de recherche perso d'un ami
pour éradiquer les types d'attaques les plus utilisés du moment "attak-shell" exploitant "eval(base64_decode... 
"!
Ce type d'attaque exploite des pages mal-codées ou par mauvaise protection du serveur. Il permet de modifier les contenus de pages/récupérer les identifiants serveurs et configuration / récupère la base de données / manipulation à distance de vos sites sur un serveur attaqué / destruction immédiate des sites se trouvant sur un serveur attaqué.
Vigilance : Tous sites possédant un espace d'upload sont les cibles de l'attaque, en majeur partie elle est executée par un membre du même site.
Dans php.ini mettre les lignes suivantes (php.ini à créer à la racine du dossier pour les 1&1 hosting) :
Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)
Merci à tous !
Gnozys.
(Piste par http://twitter.com/bykepler)
Voir ici pour plus d'info http://forum.webrankinfo.com/bane-130-186-hacker-bot-t120886.html
Voila une formule issue du laboratoire de recherche perso d'un ami
pour éradiquer les types d'attaques les plus utilisés du moment "attak-shell" exploitant "eval(base64_decode... "! Ce type d'attaque exploite des pages mal-codées ou par mauvaise protection du serveur. Il permet de modifier les contenus de pages/récupérer les identifiants serveurs et configuration / récupère la base de données / manipulation à distance de vos sites sur un serveur attaqué / destruction immédiate des sites se trouvant sur un serveur attaqué.
Vigilance : Tous sites possédant un espace d'upload sont les cibles de l'attaque, en majeur partie elle est executée par un membre du même site.
Dans php.ini mettre les lignes suivantes (php.ini à créer à la racine du dossier pour les 1&1 hosting) :
- Code: Tout sélectionner
allow_url_fopen = Off;
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)
Merci à tous !
Gnozys.
(Piste par http://twitter.com/bykepler)
- lenono
- WRInaute discret
- Messages: 71
- Inscription: 4 Sep 2006
Re: Solution : mettre en echec les attaques "Eval base64_decode"
le Lun Mai 10, 2010 15:22
PAs forcément de l'upload, ça peut aussi etre de l'inclusion de page dont le nom est passé en paramètre, et qui n'est pas vérifié dans le script ensuite.
Ce qui fait une inclusion d'une page distante, exécutée sur ton serveur, et boum...
Les failles de sécurité sont plus dues à une mauvaise programmation (tout le monde y passe...), plutot qu'à une finesse de réglage des logiciels (même si c'est complémentaire, bien sur !)
Arnaud
Ce qui fait une inclusion d'une page distante, exécutée sur ton serveur, et boum...
Les failles de sécurité sont plus dues à une mauvaise programmation (tout le monde y passe...), plutot qu'à une finesse de réglage des logiciels (même si c'est complémentaire, bien sur !)
Arnaud
-
taface3D - Nouveau WRInaute
- Messages: 9
- Inscription: 3 Déc 2010
Re: Solution : mettre en echec les attaques "Eval base64_decode"
le Ven Déc 03, 2010 16:14
Et les solutions classiques ne sont pas suffisantes ?
- Vérification de la forme du nom du fichier
- Vérification du type (vérif avec la librairie GD sur le jpg par exemple)
- Vérif de GET ou POST
- Vérif du referer et du User-Agent
etc.
?
- Vérification de la forme du nom du fichier
- Vérification du type (vérif avec la librairie GD sur le jpg par exemple)
- Vérif de GET ou POST
- Vérif du referer et du User-Agent
etc.
?
4 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Protection contre les attaques "SQL injection"
- googlebot : images en data uri base64
- Une nouvelle solution de paiement en ligne "made in France" ?
- Link rel="canonical" solution contre le duplicate content
- QQ à trouvé une solution pour valider le target="_"
- Solution "Intelligente" 'formulaire obligatoire'
- Mettre des filtres dans un "Activity Feed" de Facebook
- Pages avec très peu de contenu - mettre un "noindex"?
- Mettre une page "en construction" avant le lancement d'un site
- Mettre en place un "suivant/précédent" dans ma gallerie
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Contact
Confidentialité