 hack par le fichier catalog/password_forgotten.php, comment le proteger? |
 |
 |
 |
 |
 |
 |
 |
 |
Bienvenue invité ( Connexion | Inscription )
  |
 18 May 2012, 16:17
Message
#1
|
|
|
Ceinture blanche OSC  Groupe : Membres Messages : 17 Inscrit : 22-April 04 Membre no 2328  |
bonjour, mon site oscommerce 2.2, se fait hacker tout le temps, pourtant j'ai suivi les recommandations par la faq, installer meme crawlprotect, et pourtant tjs des intrusions ils me lachent pas, j'ai trouvé dernierement sur mes logs, des dixaines et dixaines de fois ces codes: 92.150.86.25 monsite.com - [18/May/2012:08:11:50 +0200] "POST /catalog/configup3.php HTTP/1.1" 302 210 "-" "-" 89.208.48.75 monsite.com - [18/May/2012:08:22:15 +0200] "POST /catalog/password_forgotten.php?cookies=1&showimg=1&truecss=1&t3779n=1 HTTP/1.1" 200 412 " le fichier configup3.php n'y es pas d'origine sur l'os, et apparement il essai de passer par le fichier password_forgotten.php avec les cookies, resultat je me retrouve souvent avec un fichier htacces en debut et dans le dossier catalog avec du code hacké, incitant à rediriger vers le site des hackeurs. donc domment faire pour proteger deja fichier password_forgotten.php? quelqu"un a t il deja eu ce probleme, merci de votre aide |
 |
|
|
7 Jun 2012, 18:10
Message
#2
|
|
 5eme dan OSC  Groupe : Administrateur Messages : 9103 Inscrit : 4-March 03 Lieu : Auray Membre no 927 |
Si ta version est à jour (ms2 v5 par exemple) le password_forgotten n'est pas faillible et la chaine GET n'a aucune incidence.
Si le fichier configup3.php a été placé c'est que le pirate est passé par ailleurs. C'est dans tes logs qu'il faut chercher la faille et pas dans les dernières 24H mais sur les 6 à 12 semaines écoulées. Fais une recherche de chaine configup3 tu trouveras surement à quel moment il a réussi à implanter ce script. En fait depuis le premier hack de ton site, tu n'as pas fait correctement le ménage, donc le hacker a encore sa backdoor pour insérer des scripts dans ton site. Il recommencera tant que tu n'auras pas sérieusement tout nettoyé. -------------------- Tout d'abord :
 - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 -  - Notepad++ - Firefox et son extension WebDeveloperLe gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
|
|
|
8 Jul 2012, 11:45
Message
#3
|
|
|
Ceinture jaune+ OSC  Groupe : Membres Messages : 83 Inscrit : 7-November 09 Lieu : PARIS Membre no 26487 |
[quote name='Gnidhal' date='7 Jun 2012, 18:10' post='363663'] C'est dans tes logs qu'il faut chercher la faille et pas dans les dernières 24H mais sur les 6 à 12 semaines écoulées. /quote] Bonjour grand maître  Merci pour ton soutien. Je n'ai toujours pas compris comment vous apprenez à interpréter les instructions les fichiers de log (pour site web) ? Non seulement ils peuvent contenir des milliers de lignes, dans lesquelles on se pert complement, mais en plus, en lisant une ligne, comment determiner qu'il s'agit d'une intrusion par exemple ? Je sais que cette question n'a rien a avoir avec oscommerce, mais bon, si on peu quand même en parler, un tout petit peut ça fait toujours du bien. -------------------- Oscom V 2.3.1 - Easyphp 2.10
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail ! - Ta parole et ta pensée peuvent changer le monde. Alors émets tjrs les bonnes. - Tu es un être unique car Dieu ne fait pas de photocopie :-) - Tu es un être rare. Or tout cequi est rare a de la valeur ! Alors réjouis-toi de ceque tu es, et restes comme tu es :-). Accepte "positivement" d'être différent(e) des autres et ne t'orgueillis pas de ce que tu penses avoir de plus que les autres. - Tes pensées et tes parôles construisent ton avenir. Alors si tu penses et tu parles tjrs du bien (de toi et des autres), tu seras bien (eux aussi, grâce à toi). - Les mains inactives appellent la pauvreté. - Science sans conscience n'est que ruine de l'âme. - L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples probleme du monde (violence, injustice, dictature, pauvreté, etc). |
|
|
|
|
8 Jul 2012, 12:17
Message
#4
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 83 Inscrit : 7-November 09 Lieu : PARIS Membre no 26487 |
Citation (chris2000 @ 18 May 2012, 16:17)  j'ai trouvé dernierement sur mes logs, des dixaines et dixaines de fois ces codes: 92.150.86.25 monsite.com - [18/May/2012:08:11:50 +0200] "POST /catalog/configup3.php HTTP/1.1" 302 210 "-" "-" 89.208.48.75 monsite.com - [18/May/2012:08:22:15 +0200] "POST /catalog/password_forgotten.php?cookies=1&showimg=1&truecss=1&t3779n=1 HTTP/1.1" 200 412 " le fichier configup3.php n'y es pas d'origine sur l'os, et apparement il essai de passer par le fichier password_forgotten.php avec les cookies, Bonjour cher ami. J'ai quelques questions, si tu peux m'aider : Est que c'est en par courant les centaines voir des milliers de lignes de tes logs, juste par curiosité, que tu est tombé sur ces codes, ou encore tu as fais spécialement une recherche pour les trouver. Si tu as fais une recherche ça sous entend que tu les aurai déja vu quelque part, mais où peut-on détecter de telles chose à part les logs ? Pour simplicfier ma question : comment a tu eu l'idée de chercher ses lignes de codes dans tes logs ? Citation (chris2000 @ 18 May 2012, 16:17) et apparement il essai de passer par le fichier password_forgotten.php avec les cookies, Et là, qu'est ce qui vous a parut bizard ? Sincerement, j'aurai vu ça dans mes logs, je n'aurai pas déviner que c'est une intrusion, puisque : 1/ Si la fonctionnalité des cookies est disponible "et activée" dans mon votre site oscommerce pourquoi un lien contenant le mot cookies vous fais penser à une intrusion ? 2/ Même question pour : password_forgotten.php Pourquoi vous n'avez pas pensée à l'intrusion pour les autres ligne de logs concernant les autre pages de votre site ? Merci -------------------- Oscom V 2.3.1 - Easyphp 2.10
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail ! - Ta parole et ta pensée peuvent changer le monde. Alors émets tjrs les bonnes. - Tu es un être unique car Dieu ne fait pas de photocopie :-) - Tu es un être rare. Or tout cequi est rare a de la valeur ! Alors réjouis-toi de ceque tu es, et restes comme tu es :-). Accepte "positivement" d'être différent(e) des autres et ne t'orgueillis pas de ce que tu penses avoir de plus que les autres. - Tes pensées et tes parôles construisent ton avenir. Alors si tu penses et tu parles tjrs du bien (de toi et des autres), tu seras bien (eux aussi, grâce à toi). - Les mains inactives appellent la pauvreté. - Science sans conscience n'est que ruine de l'âme. - L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples probleme du monde (violence, injustice, dictature, pauvreté, etc). |
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
|
Version bas débit | Nous sommes le : 20th May 2013 - 08:39 |
| Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |