Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

Sujet : Hacking site php [ Divers / Général ] (waterw72)

lundi 19 mai 2008 à 09:01:50 | Hacking site php

waterw72

Membre Club
Bonjour à tous et toutes,

Cela fait la deuxième fois que je me fais hacké en quelques mois.
J'aurais aimé l'avis d'expert.

La première fois, la plus part de mes fichiers php avait été modifié : une ligne echo'<iframe...</iframe>'; avait été insérée au
début de mes fichiers. Je possède deux compte chez mon hébergeur et mes deux comptes ont été "hackés".

La seconde fois, uniquement les fichiers index.php ont modifiés.

Comment est-ce possible de modifié un fichier en écriture? et comment s'en protéger?
Comment savoir si la faille est au niveau de l'hébergeur ou au niveau de mes sites?

Merci à vous.

lundi 19 mai 2008 à 13:56:10 | Re : Hacking site php

coucou747

salut

faudrait voir le site, mais en general, c'est pas l'hebergeur qui est en cause...

ton site a une XSS assez gennante : met :
<script type="text/javascript"> window.location.href="http://eelte.megami.fr"; </script>
comme commentaire a une news ou autre....

et sinon, ton captcha est vraiment tres simple a casser...

lundi 19 mai 2008 à 14:28:22 | Re : Hacking site php

waterw72

Membre Club
J'ai corrigé  avec un htmlentities() pour ce qui est du javascript.

Pour le captcha, c'est pas mon truc... donc je laisse comme ça.

D'autres ont des infos / idées?

lundi 19 mai 2008 à 15:34:54 | Re : Hacking site php

Teclis01

Depend des fonctionnalités de ton site... upload, remplissage de champs qui donne la possibilité d injection SQL... faudrait voir la source

Il vaut mieux poser une question et passer pour bête que le rester toute sa vie

 Les geeks n'ont pas une case en moins ils commencent juste à compter à partir de zéro


samedi 24 mai 2008 à 20:51:38 | Re : Hacking site php

waterw72

Membre Club
Bonjour,

J'avais effectivement des formulaires sans utiliser l'htmlentities des données reçues par POST.

Cela dit, j'ai du code (javascript) dans mes fichiers php. Ce n'est pas moi qui l'ai écrit.
Comment est-ce possible?
Est-ce qu'un chmod 444 (lecture seule) est la solution? Le chmod actuel est 644.


samedi 24 mai 2008 à 20:54:10 | Re : Hacking site php

coucou747

c'est mettre du scotche pour boucher un trou dans un mur...

faut corriger tes failles sur tes formulaires, pas faire ca...

samedi 24 mai 2008 à 21:57:40 | Re : Hacking site php

waterw72

Membre Club
OK, j'ai mis sur les pages de gestion, un test de trois paramètres :
- si la variable de session "nom utilisateur " existe (isset)
- si la variable de session "id de l'utilisateur " existe (isset)
- si l'id de l'utilisateur dans la variable de session existe dans la db.

Est-ce suffissant?
Pour le moment, je n'ai plus de flood dans ma base de donnée. L'écriture dans mes tables et sous contrôle.
Par contre mes fichiers php sont toujours modifiés par d'autre individus(...). Comment cela peut-il se produire?
Ne serait-ce pas un problème au niveau de l'hébergeur? Je possède deux sites (donc 2 comptes) chez ce même hergeur et mes 2 sites sont "modifié" aux mêmes heures.

Merci à vous

mercredi 11 juin 2008 à 11:32:45 | Re : Hacking site php

waterw72

Membre Club
Bonjour,

Je ne vois vraiment pas comment des fichiers php (-rwxr-xr-x) peuvent être modifié (on a écrit le code d'une iframe au début du fichier).

J'ai vraiment besoin de comprendre ...

Merci

mercredi 11 juin 2008 à 18:16:51 | Re : Hacking site php

coucou747

sans tes sources... c'est difficile de t'aider...



Cette discussion est classé dans : site, php, fichiers, hacking, modifié


Répondre à ce message

Sujets en rapport avec ce message

Besoin d'aide a la progra et de nombreuses explications sur php !!! [ par Vivelakro ] bonjour les amis, je me permet de poster car je viens de créer mon site sur le portail www.jexiste.frje l'ai fait car ils proposaient la creation de b Proteger des fichiers sur un site ..recherche d'un specialiste PHP [ par denisnospam ] Bonjour,Je cherche avant tout un specialiste PHP a qui je pourrais poser des questions de temps en temps hors forum pour ne pas polluer le thread .Ens sécurité site php [ par waterw72 ] Bonjour,Puis-je mettre un chmod sur tous mes fichiers php de mon site?Cela fait plusieurs fois, que je retrouve du code écrit dans mes fichiers php. C REVERSE PHP [ par wigand ] BonjourJ ai fait développer mon site ( bien à moi) par des étrangers asiatiques qui Problème : appel de fichier en php [ par Aikanaru ] Bonjour, j'ai installé un projet réalisé pour une entreprise sur un de leur serveur linux (red hat) et j'ai rencontrer des problèmes, après tests j'ai Première visite sur ce site [ par stephanlish ] Salut à tous,je suis une débutante en php mysql et j'ai des problémes d'insertion des valeurs sélectionnées sur la liste de valeurs du formulaire php. Que mettre dans l'index.php en Poo ? [ par lolymeupy ] Bonjour, je débute en php objet, et je ne vois pas trop comment gérer le fichier index.php... Est-ce qu'on utilise index.php comme fichier central (un Mise en ligne site php [ par bruce207 ] Bonjour,je voudrais savoir comment je dois faire pour transporter mon site fait en php avec une base de données mysql sur une machine qui n'est pas co Petit problème lors de la mise en ligne d'un site en php [ par Scorpio2201 ] Bonjour, Après avoir codé un site en php, j'ai mis mon site en ligne sur un hébergeur gratuit avec base de données mysql mais certaines pages ne fonct problem avec interface php connecté a une base de données qui contient des fichiers extension non précise [ par si_laraki18 ] bonjour ,j'ai un  projet dont je doit créer "une interface d'accès aux fichiers" ,alors puisque c'est une société j'ai pensé a une interface php , mai


Nos sponsors

Sondage...

CalendriCode

Juillet 2009
LMMJVSD
  12345
6789101112
13141516171819
20212223242526
2728293031  

Consulter la suite du CalendriCode

Téléchargements

Logiciels à télécharger sur le même thème :

Comparez les prix Nouvelle version

Photothèque Nouveau !



Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés
Temps d'éxécution de la page : 0,406 sec

Google Coop CodeS-SourceS Google Coop CodeS-SourceS


Certaines images présentes sur le site (notament certains avatars) sont issues des collections IconShock, donc si vous souhaitez utiliser ces icons vous devez les acheter, ne les copiez pas et ne utilisez pas dans vos sites et applications sans les avoir commandé.