Skami 18 a écrit :
En fait, ça c'est les logs du serveur HTTP: chaque fois chaque quelqu'un
demande une page, ça crée une requête GET, et quand on envoie des
données, ça crée une requête "POST"... c'est donc toutes les requêtes
"POST" qu'il faut chercher...
merci, je vais voir par là, mais bien avant car j'ai effectivement
trouvé un fichier php louche, non présent dans mes archives.
J'ai perdu la date de mise sur le site suite à mon empressement de
l'isoler, mais c'était bien avant.
Je l'ai mis en fichier texte, non exécutable sur le même espace de
stockage (sans serveur PHP activé) :
http://dubsv.free.fr/Linux/style_louche.txt
En y jetant un oeil, moi qui ne suis pas un pro du PHP, je lis du
shell_exec ainsi que du scan de repertoires, édition de fichiers, etc...
C'est forcément une faille.
Il faut se poser la question "Comment ces fichiers on pu arriver là?!"
À partir de là, on peu envisager une faille FTP, donc: changer tout les
mots de passe.
En fait, c'est sans doute une passoire! Encore plus avec les permissions
de fichiers qui avaient été mises en full par une des équipes de
l'hébergeur suite à un gros problème de mise à jour..
Comme interfaces, il y a le FTP, une petite interface web 'hand made
self" d'édition des bases XML (accès 'protégé' par ".htaccess" +
".htpasswd"), ainsi que l'interface web fourni par l'hébergeur...
Bien entendu, la plupart des système d'uploads doivent se débrouiller
pour changer aléatoirement le nom du fichier, mais si le codeur qui à
fait ton site était débutant...
Un débutant, je ne le pense pas vraiment, mais un codeur indépendant
oui... ce qui peut conduire aux mêmes erreurs
Autre piste (qui m'est totalement inconnue), l'injection SQL: si ton
site utilise ses bases, il faudra te documenter sur ça...
Il existe des bases MySQL, mais il ne me semble pas qu'elles soient
utilisées par le site (inachevé).
Enfin, j'ai lancé un Nmap sur le serveur de lien que tu m'a donné (un
serveur de free)
Le dernier lien correspond à mon espace de stockage = rien à voir avec
le site qui lui est hébergé chez Hosteur.com.
Bref, les pistes ne manquent pas!
Voilà un site et un article:
<http://www.spiritofhack.net>
<http://forum.spiritofhack.net/viewtopic.php?id=1532>
Ça te sera (peut-être) utile!
je regarde cela!
Sinon, tu as dit dans ton message précédent, que ce n'était pas toi qui
avait codé ton site...
Dans ce cas là, efface tout!
Ben non, puisque ce n'est pas mon site... Je souhaitais les faire migrer
vers un CMS comme Joomla!, mais en attendant, cela leur permet encore
d'avoir pas mal de contact...
Dans tous les cas, cette attaque est une bonne occasion d'apprendre:
Merci les crackers xD
Oui, c'est effectivement un bon sujet!
Bonsoir,
Vincent.
Diffusez cette liste aupres de vos relations :-)
Linux Azur : http://www.linux-azur.org
Vous etes responsable de vos propos.
*** Merci de rediger sans SMS, ni HTML ni PJ ***
