osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Closed TopicStart new topic
> Site hacké ? quelques outils
Gnidhal
posté 24 Aug 2011, 08:08
Message #1


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9219
Inscrit : 4-March 03
Lieu : Auray
Membre no 927



L'été a vu passer des vagues de piratage de site.
Voici donc quelques outils dispos à ce jour pour parer aux éventuelles attaques :
Une contribution osc : http://addons.oscommerce.com/info/7834 pour la 2.2 (osc_sec)
une autre contribution osc : http://addons.oscommerce.com/info/5914 (ip_trap)
un site qui propose un système de contrôle externe : http://www.projecthoneypot.org (pot de miel)

Ce sont essentiellement des outils de prévention.
Si votre site a été piraté, vous devez en tout premier lieu nettoyer tous vos scripts d'éventuelles lignes de code suspect.
Il n'existe pas de méthode miracle pour faire cela mais il est préférable en pareil cas de mettre votre site en "parking" durant toutes les opérations de maintenance afin d'éviter de laisser le pirate continuer ses méfaits.
Bloquez l'accès au site via un htaccess (voir la documentation disponible via Google pour cela. Clés de recherche : "redirection htaccess" ou "protection htaccess")
Après avoir changé votre mot de passe FTP, travaillez si possible sur un dossier miroir que vous allez pouvoir passer au crible (recherche de tout code suspect, élimination des scripts non osC)

Une fois que vos scripts sont propres et que votre dossier local ne contient plus aucun script douteux, effacez l'ensemble du site en ligne et transférez ces scripts propres puis procédez à l'installation d'une ou plusieurs des solutions proposées ci-dessus.
Ce n'est qu'après toutes ces opérations que vous pourrez ré-ouvrir votre site publiquement.

Il est à noter que notre FAQ donne des conseils de prévention que vous n'avez surement pas suivi si votre site est hacké.
La sécurité d'un site internet ne doit jamais être prise à la légère.

Une mise à jour de ce post sera faite régulièrement mais n'hésitez pas à me contacter (MP) si vous découvrez d'autres outils...



--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 
Gnidhal
posté 25 Aug 2011, 15:16
Message #2


5eme dan OSC
Icône de groupe

Groupe : Administrateur
Messages : 9219
Inscrit : 4-March 03
Lieu : Auray
Membre no 927



Bloquer une adresse IP ou une plage d'adresses IP via htaccess :
C'est la première chose à faire dès qu'on a identifié la provenance du hack.

Pour bloquer une simple adresse on ajoute dans le htaccess de la racine du site :
Code
deny from 66.211.169.2

(il s'agit ici d'une IP enregistrée dans des logs, celle d'un hacker : http://www.projecthoneypot.org/ip_66.211.169.65 )
mais avec cette ligne on ne bloque que cette ip spécifique
pour bloquer la plage 66.211.169.0 à 66.211.169.255 on va ajouter un masque et la ligne dans le htaccess sera
Code
deny from 66.211.169.0/24

Explication du masque :
Le nombre qui suit le / est le masque réseau, une valeur de 32 bits qui définie le nombre de bits à prendre en compte dans l'adresse qui précède le masque
Une adresse ip est en effet elle-même un nombre en 32 bits sur 4 octets habituellement noté par octet :
255.255.255.255 est donc égal en notation binaire à 11111111 11111111 11111111 11111111
en appliquant un masque de 24 bits sur 32 (11111111 11111111 11111111 00000000), je précise dans cette adresse les valeurs à prendre en compte de manière fixe comme étant les 24 premiers bits de l'adresse.
la plage spécifiée sera donc équivalente à 255.255.255.0 => 255.255.255.255
et si je mets un masque à 23, la plage est donc 255.255.254.0 => 255.255.255.255
attention, si j'applique un masque de 23 à mon adresse originale citée (66.211.169.2) je vais couvrir les adresse depuis 66.211.168.0 à 66.211.169.255
La valeur de ce masque doit dont être maniée avec précaution.
En consultant le site www.projecthoneypot.org j'ai pu constater que ce hacker utilise des adresses 66.211.168.x en plus de certaines adresses en 66.211.169.x.
Si je ne travaille pas avec le pays détenant ces ip, je peux peut-être étendre le masque à 23 en sachant que tous les visiteurs dans cette plage ip n'auront plus accès à mon site.
Code
deny from 66.211.169.0/23

Et à moins de connaitre parfaitement l'étendue d'un masque et ses conséquences sur le blocage, il est déconseillé de mettre une valeur inférieure à 22. En effet, la plage spécifié ici dans cet exemple est géolocalisée aux US et si vous visez trop large, vous prenez le risque de bloquer aussi les principaux moteurs de recherche comme Google ou Bing. Si votre nettoyage dure un peu plus longtemps que prévu, cela risque de vous faire perdre des places en référencement.

Durant l'opération de nettoyage, on peut viser large : même si quelques visiteurs "propres" sont écartés, on est sur d'interdire l'auteur du hack. Mais il faudra peut-être revenir à un blocage plus ciblé après la restauration du site ou installer un système de protection comme indiqué plus haut.

Voilà pour le blocage du méchant.


--------------------
Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues :
Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums.
Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin.

----------------------------- Quelques sites de référence ---------------------------
PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js
Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper
Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien)
Go to the top of the page
 

Closed TopicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 18th November 2017 - 07:38
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)