BigZ[SHN]

Bonjour,

Ce matin mon site a été piraté !
Résultat, dans tous les fichiers de mon serveur qui étaient nommé INDEX (index.php, indexoriginal.php etc.) J'ai retrouvé ça : BY AYS FEDERAL ATACK TEAM /// FOR TURKEY !!!

Bref, j'ai pu remettre le site en place, j'ai changé mes mots de passe et voilà.

Maintenant en fouillant mes logs je me suis aperçu que 2 adresses IP avaient attaqué un de mes fichiers PHP. Un fichier permettant de signer un livre d'or fait par mes soins.

Actuellement j'ai carrément viré la page en question parce que j'ai remarqué que ces 2 adresses continuait d'attaquer ce fichier.

Le WHOIS de ces adresse me renvoie chez OVH...

Maintenant questions :
Quelqu'un peut-il m'expliquer comment il ont procéder ? En effet, j'aimerai bien pouvoir contrer cela a l'avenir.

Dernière chose, est-ce que j'ai moyen de Blacklister ces adresses de mon serveur ? Script PHP ? Directement sur le serveur ?

Merci d'avance

BigZ

LA GLOBULE

Difficile de répondre sans avoir vu le code.
En tout cas, une chose est sure, les cibles privilégiées des hackers sont les livres d'or et les formulaires de contact.

Dans la plupart des cas, ce sont des scripts "a priori" simples à faire, mais qui peuvent très vite contenir de nombreuses failles de sécurité.

Pour blacklister des ip, tu peux le faire directement sur le serveur via iptables. C'est aussi faisable en PHP, mais c'est moche quoi :)
Mais bon, une adresse ip, cela se change. A moins de supprimer carrement un range d'ip, blacklister juste une ip ne sert pas à grand chose.

Pour un petit hack de ce genre, le mieux, c'est de corriger ta faille de code.

PS : d'après google, tu es loin d'être le seul dans ce cas. Es tu sur de n'avoir que du PHP perso. sur ton site ? Ou bien t'as repris des scripts quelque part ?

BigZ[SHN]

Salut La Globule,

Merci pour ta réponse.

Actuellement mon serveur semble down, peut être une sécurité de mon hébergeur.

Sinon mon code a été pondu par moi même, mais c'est somme toute assez simple.

C'est le fichier qui permet de signer le livre d'or, il s'appelle sign.php

Il contient le formulaire permettant d'ajouter un commentaire et le script d'ajout dans la base. Ayant été spammé auparavant, j'ai ajouté un système de Blackliste fait maison (une simple table avec les IP qui m'embête) et un Captcha.

Le wall est là :
http://www.lephpfacile.com/wall/wall-1807.php

Y aurai-t'il un souci ?

Sinon dans mon site j'ai aussi un forum PHPBB3 à jour.... le problème vient peut-être de lui ?

Merci

LA GLOBULE

Il manque quelques isset et mysql_escape_string, mais a priori, rien ne permettant d'écrire dans des fichiers.

Concernant PHPBB, recherche si des failles sont connues et non comblées.

Sinon, ben regarde tes logs et recherche des trucs suspects.

BigZ[SHN]

La Globule,

J'ai regardé dans les logs et j'ai trouvé une grande quantité de connexions sur ce fichier justement, c'est ce qui me fait penser qu'ils sont "passés par là" pour le hack...

LupusMic

Peut-être que la vulnérabilité se trouve dans les fichiers inclus, à commencer par header.php, menu.php ou footer.php.

Aniki

Salut !

Moi je pense qu'ils ont récupérer un lien comme livre.php ou alors par l'affichage de ton captcha.php.
As tu pensé a faire une protection de tes dossiers importants par un htaccess et htpassword c'est assez sécurisant.