Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] A l'aide ! Intrusion et site plombé :/

Bioris

Par Bioris
dans Sécurisation, prévention

 Partager

Messages recommandés

Bioris Junior Member

Bioris

Posté(e)
Posté(e) (modifié)

Bonjour,

Je suis le fondateur et le directeur de publication de Heli4.com.

J'ai déjà fait appel à Zebulon.fr pour un souci et j'ai aidé bien aidé par "Charles Inglas", merci à lui !

Ainsi je reviens pour un autre souci :

 

Nous avons été victime d'un intrusion hier soir, et le fraudeur nous a mis hors d'usage notre forum et presque aussi notre site.

 

Il a inséré une pub de chez smartbarre.com, puis a enchainé sur la suppression de nos comptes Admins.

 

Ainsi Heli4.com est plombé pour l'instant.

 

J'espère que je trouverai ici de l'aide pour sécuriser le site ...

 

Qui peut nous dire quels moyens existent pour se protéger des intrusions ?

Comment identifier le fraudeur ?

 

Je peux vous dire que l'on ne va pas lacher le morceau. Cette personne est sous le coup de la loi puisque toute personne s'introduisant dans un site et modifiant les données est passible de 5 ans d'emprisonnement et d'une amende allant jusqu'à 100 000 €.

 

Merci d'avance

 

Boris.

Modifié par Bioris

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonsoir Bioris :P

 

Un petit UP pour ton sujet, je me suis permis de modifier le titre pour "attirer" les spécialistes.

 

Je ne maitrise pas du tout ce côté là de la sécurité, je ne suis pas en mesure de t'aider efficacement. J'espère que des membres compétents verront le sujet et seront à même de t'aider.

 

Bon courage :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonsoir, je pense qu'il faudrait peut-être déplacer ça dans la section programmation (php etc) ?

 

Le site est motorisé par Spip. A part la dernière version à avoir, un des dangers est l'injection SQL, surveille les paramètres php, notamment register_globals et magic_quotes_gpc, un peu de doc :

 

http://www.vulgarisation-informatique.com/failles-php.php

http://www.phpfrance.com/tutoriaux/index.p...es-magic-quotes

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)
Qui peut nous dire quels moyens existent pour se protéger des intrusions ?
Pour se "protéger" il n'y a pas de méthode qui marche à tous les coups, mais tenir à jour toutes ses versions de logiciels (oui, je sais, ça fait un boulot phénoménal d'administration système) est un bon début. Cette remarque n'est évidemment valable que si les outils sont fournis par une tierce partie. Pour les outils "internes", il faut à tout prix blinder tout ce qui peut provenir d'un utilisateur (filtrer les caractères spéciaux, qu'ils soient PHP, SQL, HTML ou autre) en évitant de s'en remettre à PHP pour tout faire tout seul.

Donc, règle numéro 1 : ne faire confiance à pesonne. Ni au langage de programmation, ni au serveur Web, certainement pas à la base de données et encore moins à ce que les "visiteurs" envoient comme requête HTTP.

A ce sujet, il devrait être possible de mettre en place des filtres simples qui "oublient" d'accepter ce qui contient du code qui ressemble à une injection SQL (un "INSERT INTO" à l'intérieur d'une requête d'un gars qui est censé discuter sur le forum, c'est louche...), et tant pis pour ceux qui voulaient discuter de SQL sur le forum ;-)

Ne surtout jamais, Ô grand jamais, autoriser les connexions à distance autrement que par des moyens cryptés et surprotégés : pas d'ouverture des ports telnet, ftp, rsh, pas de compte sans mot de passe, surtout pas de connexion directe à MySQL depuis Internet, etc. etc. Il faut que le serveur soit "étanche" au maximum.

Après, il est évident qu'il faut sécuriser au maximum (s'il existe un niveau de sécurité "paranoïa" sur les outils, l'utiliser même si cela demande une heure de prise de tête supplémentaire... ça évite généralement des mois de galères pour restaurer des données effacées lors d'un besoin de réinstaller l'OS parce qu'on n'est pas sûr qu'un cracker n'est pas venu déposer des logiciels étranges sur la machine).

Si possible, lorsque l'on programme ses applicatifs, à tous les niveaux il faut initialiser toutes ses variables, toujours tester leur validité avant de les utiliser, ne jamais croire que le langage va deviner tout seul la bonne solution (i.e. toujours être parfaitement explicite, même si "$toto" semble plus joli que "$_POST[toto]" ; je hais PHP pour ça, en grande partie), etc. etc.

 

Comment identifier le fraudeur ?
La seule solution consiste à logger, tracer, enregistrer tout ce qui se passe, qui fait quoi, et mettre des alarmes sur certains événements, de préférence ailleurs que dans le système lui-même : envoyer un mail sur un compte précis lorsque quelqu'un accède à la partie admin du site, par exemple... stocker cet événement dans la base de données aurait des chances d'être anéanti par un effacement de ladite base...)

Possèdes-tu les logs d'accès à ton site ? Tu as toutes les chances d'y retrouver les adresse IP et heure de visite de ton pirate (et hop ! une demande auprès du FAI et un dépôt de plainte devraient faire l'affaire..) encore faut-il retrouver le contenu des requêtes qui ont été reçues par ton serveur, ou au moins les pages auxquelles le pirate a accédé (en traçant les pages visitées par chaque personne, il est facile de voir lequel s'est amusé à ne pas suivre une navigation "logique" dans ton site)

Avais-tu la possibilité de tracer les connexions à la base de données ?

J'en oublie (il est tard), mais c'est déjà un début...

 

-- edit --

Ah oui, super-important : NE RIEN EFFACER une fois la machine compromise. Il y a forcément des traces du passage du gars un peu partout, et s'empresser de tout remettre en état aurait vite fait de supprimer ces traces. Au mieux, faire une image complète du système après crackage pour l'étudier (en read-only, cela va de soi).

Et à propos de traces, si le pirate est suffisamment couillon pour avoir mis une pub smartbarre sur ton site, il est certainement assez couillon pour l'avoir mise là pour son propre compte, donc il se peut que la bannière permette de retrouver le gus rien qu'avec une petite demande gentille auprès de smartbarre...

Bioris Junior Member

Bioris

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour vos réponses, et particulièrement à KewlCat qui m'a écrit un véritable roman !

 

Alors, le problème a été résolu simplement, car les annonces "ALERTE INTRUSION" en rouge, que j'ai placé un peu partout, ont fait comprendre au jeune pirate qu'il avait fait une bêtise.

 

Il s'est dénoncé, il m'a écrit un mail. Il a 16 ans, et il est en première, à Paris.

 

Il nous a expliqué exactement ce qu'il a fait. Donc les solutions vont être faciles. En plus, il n'a rien effacé au niveau du contenu du site, juste mis sa pub et effacés uniquement nos comptes Admin sur le Forum (tout de même !). Le Forum fonctionne aujourd'hui.

 

Le responsable du Forum sur Heli4.com va installer une version récente et payante d'un autre forum invision. Notre ancien forum était truffé de failles à ce qu'il parait.

 

Tout va rentrer dans l'ordre.

 

Merci pour toutes les infos, je les transmets au responsable du forum (DAL).

 

@plus !

Modifié par Bioris

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...