Solution : mettre en echec les attaques "Eval base64_decode"

Nouveau WRInaute
Bonjour,

Voir ici pour plus d'info https://www.webrankinfo.com/forum/t/bane-ip-72-46-130-186-hacker-bot.120886/

Voila une formule issue du laboratoire de recherche perso d'un ami :lol: pour éradiquer les types d'attaques les plus utilisés du moment "attak-shell" exploitant "eval(base64_decode... :twisted: "!

Ce type d'attaque exploite des pages mal-codées ou par mauvaise protection du serveur. Il permet de modifier les contenus de pages/récupérer les identifiants serveurs et configuration / récupère la base de données / manipulation à distance de vos sites sur un serveur attaqué / destruction immédiate des sites se trouvant sur un serveur attaqué.

Vigilance : Tous sites possédant un espace d'upload sont les cibles de l'attaque, en majeur partie elle est executée par un membre du même site.

Dans php.ini mettre les lignes suivantes (php.ini à créer à la racine du dossier pour les 1&1 hosting) :

Code:
    allow_url_fopen = Off;
    disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
    ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;

Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)

Merci à tous ! :mrgreen:
Gnozys.
(Piste par http://twitter.com/bykepler)
 
Nouveau WRInaute
Bonjour,

Avez vous fait une erreur pour la fonction parse_ni_file, c'est bien parse_ini_file que vous vouliez écrire ???

merci.
 
L
lenono
Guest
PAs forcément de l'upload, ça peut aussi etre de l'inclusion de page dont le nom est passé en paramètre, et qui n'est pas vérifié dans le script ensuite.
Ce qui fait une inclusion d'une page distante, exécutée sur ton serveur, et boum...
Les failles de sécurité sont plus dues à une mauvaise programmation (tout le monde y passe...), plutot qu'à une finesse de réglage des logiciels (même si c'est complémentaire, bien sur !)

Arnaud
 
Nouveau WRInaute
Et les solutions classiques ne sont pas suffisantes ?

- Vérification de la forme du nom du fichier
- Vérification du type (vérif avec la librairie GD sur le jpg par exemple)
- Vérif de GET ou POST
- Vérif du referer et du User-Agent
etc.

?
 
Discussions similaires
Haut