Journal Au secours ! Site défacé !
15
jan.
2007
J'ai mon site http://www.funix.org qui a été "défacé" par un obscure groupe turc qui a remplacé mon fichier index.php par un autre, et j'ai beau remettre en place mon fichier, ils remettent systématiquement en place le leur. Je ne comprends pas comment ils opèrent, si ça vient de mon hébergeur (online) ou de mes pages, je n'ai jamais utilisé de CMS justement pour des raisons de sécurité et j'ai toujours fait des pages simplissimes sans mot de passe ou autre base de données quitte à être non conforme. Voilà comment mon site funix est construit http://www.funix.org/fr/php/main-php.php?ref=configsite&(...) si quelqu'un voit une faille potentielle, je suis preneur pour éviter pareil désagrément.
# rapide coup d'oeil
Posté par mxt . Évalué à 5.
Tout d'abord merci pour ton site, il m'a bien dépanné il y a quelques années.
J'ai regardé en diagonal, un truc par très net:
Car $ref pourrait très bien contenir une url d'un site malin.
Sinon en regardant les logs du serveur Web tu verrais peut être des trucs bizarres.
[^] # Re: rapide coup d'oeil
Posté par digits . Évalué à 1.
[^] # Re: rapide coup d'oeil
Posté par Funix (site web personnel, Mastodon) . Évalué à 2.
https://www.funix.org mettez un manchot dans votre PC
[^] # Re: rapide coup d'oeil
Posté par Marc Quinton . Évalué à 3.
if(file_exists('./' . $file))
include ($file);
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: rapide coup d'oeil
Posté par andeus . Évalué à 2.
Ça n'empêche pas non plus l'affichage d'un fichier de config contenant mots de passes et autres infos.
[^] # Re: rapide coup d'oeil
Posté par digits . Évalué à 3.
include "./$ref"
et ca evite déjà tout ce qui est une URL . On ne pourra plus qu'includer à partir de ta machine
[^] # Re: rapide coup d'oeil
Posté par andeus . Évalué à 2.
Le mieux est de faire une liste des fichiers autorisés dans un tableau, et en attendant un preg_replace('#[^a-z0-9\.]#i','',$ref); doit suffire à corriger le problème.
[^] # Re: rapide coup d'oeil
Posté par Gof (site web personnel) . Évalué à 5.
ensuite, je te conseil l'utilisation de fopen plutôt que include, c'est plus sur si tes document ne contiennent pas de php
[^] # Re: rapide coup d'oeil
Posté par Funix (site web personnel, Mastodon) . Évalué à 1.
https://www.funix.org mettez un manchot dans votre PC
[^] # Re: rapide coup d'oeil
Posté par GCN (site web personnel) . Évalué à 5.
Franchement la "Turkish Power" elle me montre que ces mecs ils doivent vraiment avoir des vies bien moroses pour aimer passer leur temps à faire chier le monde ! Heureusement qu'ils "do not deface websites for fun" parce que sinon on pourrait se poser des questions... !
[^] # Re: rapide coup d'oeil
Posté par Sylvain Sauvage . Évalué à 2.
Ce n'est pas que la fin justifie les moyens mais, quand la fin est bonne (s'amuser, je trouve ça bien), il suffit de changer les moyens.
# 2-3 pistes
Posté par digits . Évalué à 3.
Dans cette partie,je suppose qu'il n'ont pas obtenu de compte root et qu'il s'agit d'un serveur dédié/virtualisé (donc avec accés aux logs)
As-tu accés aux logs de cette machine ?
Si tel est le cas, quelles sont les différentes IPs qui se sont connectées à ta machine (logs d'Apache,du serveur FTP,ssh aussi pour vérifier qui tentait des connections) . A ce sujet, les mots de passes d'admin pouvaient-ils être considérés comme fiables.
Comme ta page est ancienne (dernière MAJ 2000), il faut aussi envisager des failles niveau serveur (PHP par exemple).
Si on etudie le code, je pense qu'un bon principe est de désactiver les register_globals (qui sont activés par défault jusqu'à PHP 4.2) surtout pour du code simple,verifier que chaque fois que l'on fait un include,system_exec et autre commande de ce genre les variables sont sures (à ce sujet, désactiver fopen_url (je sais plus le nom exact) peut aussi être une bonne idée .
S'ils ont obtenu le compte root, là c'est plus dur surtout s'il ont mis un rootkit.Il existe chkrootkit et rkhunter qui sont utiles mais à démarrer à partir du livecd (au cas ou les appels read/write ont été corrompus). Je suis d'accord qu'en cas de serveur hébergé, c'est plus difficile de faire la solution livecd
[^] # Re: 2-3 pistes
Posté par Uriel Corfa . Évalué à 2.
Au passage, autant en profiter pour upgrader apache/php et tous leurs copains a des versions plus recentes et plus sures (attention, comme dit plus haut par digits, a partir de php 4.2 register_globals est desactive par defaut ce qui risque de pourrir la compatibilite de ton code...)
# turc
Posté par towanda . Évalué à 3.
[^] # Re: turc
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
(on sait... la connerie n'a pas de limite mais bon, il suffirait que cela remonte dans la presse non spécialisé, et je sens que l'image de la turquie sera définitivement ternis)
"La première sécurité est la liberté"
# Attention blague belge ...
Posté par Nicolas Évrard (site web personnel, Mastodon) . Évalué à 1.
Dis moi, tu ne travaillerais pas pour l'armée belge des fois [1] ? Si c'est le cas, il y aurait peut-être moyen que tu me trouves quelques deniers pour meubler mon appartement, c'est que mon papa ne veut pas que je travaille et il ne me donne que 1500¤ d'argent de poche (c'est un peu chiche) ...
1: http://www.lesoir.be/la_vie_du_net/societe/2007/01/14/articl(...)
[^] # Re: Attention blague belge ...
Posté par B16F4RV4RD1N . Évalué à 2.
d'ailleurs ne dit-on pas "fort comme un Turc" ?
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# Faille du php connue... Un exemple encore d'actualité:
Posté par georgeswwbush . Évalué à 1.
Mais cet animal, malgré mes conseils, n'a toujours rien fait. En fait, son site n'était pas très utilisé :-))
Effectivement, l'attaque est le fait de groupuscules Turcs qui nous reprochent le retardement des discussions sur l'adhésion de la Turquie à l'Europe, ainsi que la reconnaissance du génocide Arménien...
Je n'en suis que plus réconforté dans mon action: www.djtonio.fr
[^] # PLUS INFO Re: Faille du php connue... Un exemple encore d'actualité:
Posté par georgeswwbush . Évalué à 1.
lun. 20/11/2006 23:28
Ce message concerne principalement les personnes qui utilisent des scripts php du type SPIP, PHPbb, Joomba, ... sur leur site.
Ce week-end un serveur Clicasso a été hacké par des personnes qui ont exploité une faille de sécurité sur un des sites présent sur la machine. Le site avait un safe_mode* désactivé et les hackeurs ont pu accéder à tous les autres sites. Pour limiter les risques de voir ce genre d'icindent se reproduire nous allons activer le safe_mode* sur tous les sites et sur l'ensemble de nos serveurs.
Si votre site fonctionne avec un safe_mode* à OFF nous vous invitons à nous contacter via le support; vous pouvez également visiter le site officiel du script que vous utilisez pour vérifier la mise à jour ou non de votre application.
Nous vous remercions pour votre compréhension.
* Le safe_mode active ou non le mode de sécurité de PHP
-----
Bien sûr, le "safe mode" sur PHP ne veut rien dire, mais il va de soi que je ne donnerais pas le "script kiddy" ici... un peu de Google s'impose... (pas compliqué en fait)
[^] # Re: PLUS INFO Re: Faille du php connue... Un exemple encore d'actualité:
Posté par Raphaël G. (site web personnel) . Évalué à 1.
- Impossible d'exécuter(include) un fichier php qui un propriétaire différent de celui du script de base => tout pear ne fonctionne plus !
- Impossible d'avoir un accès a la base de donnée qui fonctionne
- etc...
Bref le safe mode c'est mal (tm), mieux vaut un code propre écris en pensant a la sécurité de base...
[^] # Re: PLUS INFO Re: Faille du php connue... Un exemple encore d'actualité:
Posté par Julien Duponchelle (site web personnel) . Évalué à 2.
# Faut pas se laisser faire ...
Posté par tipmeabout . Évalué à -5.
C'est déjà un début ...
Donc ça tourne sous Debian apparemment. Noyau pas récent ... Cool, doit y'avoir des failles ...
La suite ... chacun l'écrira à sa façon (j'ai aussi une dent contre eux, ils ont défacé le site de ma fac, mais bon, ça a été réglé rapidement et depuis plus rien que je sache)
[^] # Re: Faut pas se laisser faire ...
Posté par syntaxerror . Évalué à 3.
plus d'infos: http://www.zone-h.org/content/view/8/83/
[^] # Re: Faut pas se laisser faire ...
Posté par tipmeabout . Évalué à 0.
Et entre nous, c'est quoi l'intérêt d'un site qui stocke un historique des sites défigurés ? Pousser à la défiguration ? Dans ce cas, rien n'empêche à ce qu'il figure dans ces propres statistiques ...
# .
Posté par ccomb (site web personnel) . Évalué à 8.
Conclusion, plus c'est facile moins c'est tentant.
Ou dans un autre genre, moins c'est sûr, plus c'est sûr.
(Bon, soyez gentils de ne pas aller écrire n'importe quoi juste pour prouver le contraire... :)
# Correction
Posté par Maxime (site web personnel) . Évalué à 2.
# Mais ca m'enerve ca ... Ptin ...
Posté par Bactisme (site web personnel) . Évalué à 1.
Mais tu te crois vraiment plus fort qu'une équipe de développeurs, qui passent leurs temps à relire le code, le corriger, sortir des patchs, passer des tests ?
Et en plus, eux ils sont plusieurs, avec chacun des compétences différentes ... Et des connaissances différentes.
Si tu étais réellement capable de connaitre toutes les failles que l'on peut faire en PHP, je ne dirais peut-être pas ca ... Mais le fait que ton site soit défacable, prouve que tu ne maitrise pas tout ... alors laisse le boulot a une équipe de personnes compétentes ....
Si tu voulais vraiment avoir quelque chose de sécurisé,
Tu utilise un cms sérieux, et tu suis les correctifs de sécurités.
Bien fait pour toi ! Excès de confiance en sois ...
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par Yth (Mastodon) . Évalué à 4.
Ce sera probablement plus simple que de craquer la dernière version du dernier CMS avec patchs de sécurité, mais ça sera aussi nettement moins utile puisque ça ne marchera que contre toi, le jeu n'en vaut pas forcément la chandelle.
Mes sites sont entièrement fait maison, et j'ai pas trop peur, pourtant je ne me prétend pas plus compétent que les gens qui codent les gros CMS en PHP.
Mais c'est du python (pas Zope) et pas du PHP. La manière de faire m'est totalement personnelle. Et ya pas un site ailleurs dans le monde qui se craquera de la même manière que le mien.
Excepté faille de sécurité d'apache par exemple, bien sûr.
Ah, et je ne fais pas ça en réaction aux CMS existants, mes sites ne sont pas des CMS, même si un forum traîne au milieu.
Yth.
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par seginus . Évalué à 2.
Utilise Karrigell alors, t'auras même plus ce problème.
À ce sujet, je ne m'y connais pas trop là-dedans, mais comment peut-on faire pour héberger un site avec des outils un peu folklorique comme ceci ailleurs que chez soi (si possible gratuitement).
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par Yth (Mastodon) . Évalué à 2.
Perso, c'est hébergé chez moi, je crois qu'autrement faut regarder du côté des serveurs dédiés, et configurer à ta sauce.
Yth.
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par seginus . Évalué à 2.
Tu peux facilement configurer pour utiliser un autre port que le port 80 (par défaut si décommenté 8081) te permettant de lancer en plus un serveur web en simple utilisateur.
On peut faire des page .pih qui sont l'équivalent du .php (on met le code python entre <% et %> au lieu de <? et ?>
Sinon, on peut faire aussi des pages juste avec du python .py
bref super bien intégré et on peut facilement utilisé toute les bibliothèque de python (Je m'en sert avec pysqlite)
C'est vraiment très souple et très rapide à prendre en main.
En plus, la doc est entièrement en français (c'est fait par un breton)
Même si c'est facilement trouvable :
Le site :
http://karrigell.sourceforge.net
La doc en Français
http://karrigell.sourceforge.net/fr/front.htm
PS : un grand merci à Laurent Pointal qui me l'a fait découvrir.
http://linuxfr.org/comments/755757.html#755757
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par Yth (Mastodon) . Évalué à 2.
Le Python c'est bon, mangez-en.
Yth, cool, un nouveau jouet.
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par Sébastien Koechlin . Évalué à 2.
Ce n'est absolument pas les propos de l'auteur. La lecture des commentaires montre d'ailleurs qu'il est tombé dans un piège plutot simple. Ton commentaire à l'emporte pièce peut aussi énerver.
Ce que dit l'auteur, c'est simplement qu'il n'a pas installé de CMS pour des raisons de sécurité; pas qu'il est capable de faire mieux.
Lorsqu'on développe son propre code, on sait précisement comment il fonctionne, et lorsqu'il y a un trou, on est capable de le corriger.
Lorsqu'on installe un CMS, on se contente d'espérer que les correctifs de sécurité ne trainent pas trop après la découverte d'une faille.
J'ai utilisé et j'utilise plusieurs logiciels tout fait en PHP, et je n'ai pas encore trouvé le CMS sérieux dont tu parles. A chaque fois que je me plonge dans l'un d'eux, et que je regarde la liste des alertes de sécurité, je suis comme l'auteur de ce journal, encouragé à écrire moi même le plus possible de ce qui m'est nécessaire. Non pas parce ce que je pense qu'il y aura moins de trous de sécurité, mais parce que je serai capable de les corriger.
En prime, conscient du problème de sécurité, je m'astreints à respecter tout un tas de règles de codages et de paramétrage de PHP afin d'essayer de produire du code plus fiable, règle qui sont rarement utilisés dans les logiciels disponibles sur le net.
[^] # Re: Mais ca m'enerve ca ... Ptin ...
Posté par Jean-Philippe (site web personnel) . Évalué à 2.
# Phishing et co.
Posté par ~ lilliput (site web personnel) . Évalué à 2.
Je vois pas mal de sites défacés utilisés pour heberger des scripts php pour le phishing de banques ebay etc. Les sites hacké sont également utilisés pour heberger des virus. Pas besoin de chercher des extensions .exe .pif .bat .scr et co les derniers trojan-downloader téléchargent des .gif des .jpg .txt qu'ils renomment sur l'ordinateur infecté.
Je conseille un tripwire ou équivalent pour surveiller les fichiers sur au moins la racine de sites web [/var/www ou equivalents].
Si tu trouves un script shell php je conseille une reinstallation du serveur ou d'en changer si le contraire est pas possible.
Pour ceux qui peuvent pas acceder a un shell linux, y'a moyen de faire un rsync via un repertoire ftp monté sur la machine, et faire un synchro des deux repertoire.
Sinon un CVS ou Subversion des pages web du site est en général indispensable a celui qui fait un peu de "bidouilles" sur son site avec en bonnus la possibilité de visualisé son site avant de le mettre live.
Je sais ca peut prendre quelque temps a mettre en place mais après y'a que des avantages.
Voila mes 0.02¤.
http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.