Aide - Recherche - Membres - Calendrier
Version complète : hack par le fichier catalog/password_forgotten.php
Forum osCommerce-fr > Adapter OsCommerce MS2 > Sécurité - Mises à jour
chris2000

bonjour,

mon site oscommerce 2.2, se fait hacker tout le temps, pourtant j'ai suivi les recommandations par la faq,
installer meme crawlprotect, et pourtant tjs des intrusions ils me lachent pas,

j'ai trouvé dernierement sur mes logs, des dixaines et dixaines de fois ces codes:

92.150.86.25 monsite.com - [18/May/2012:08:11:50 +0200] "POST /catalog/configup3.php HTTP/1.1" 302 210 "-" "-"
89.208.48.75 monsite.com - [18/May/2012:08:22:15 +0200] "POST /catalog/password_forgotten.php?cookies=1&showimg=1&truecss=1&t3779n=1 HTTP/1.1" 200 412 "

le fichier configup3.php n'y es pas d'origine sur l'os,
et apparement il essai de passer par le fichier password_forgotten.php avec les cookies,

resultat je me retrouve souvent avec un fichier htacces en debut et dans le dossier catalog avec du code hacké, incitant à rediriger vers le site des hackeurs.

donc domment faire pour proteger deja fichier password_forgotten.php?
quelqu"un a t il deja eu ce probleme,
merci de votre aide

Gnidhal
Si ta version est à jour (ms2 v5 par exemple) le password_forgotten n'est pas faillible et la chaine GET n'a aucune incidence.
Si le fichier configup3.php a été placé c'est que le pirate est passé par ailleurs.
C'est dans tes logs qu'il faut chercher la faille et pas dans les dernières 24H mais sur les 6 à 12 semaines écoulées.
Fais une recherche de chaine configup3 tu trouveras surement à quel moment il a réussi à implanter ce script.

En fait depuis le premier hack de ton site, tu n'as pas fait correctement le ménage, donc le hacker a encore sa backdoor pour insérer des scripts dans ton site. Il recommencera tant que tu n'auras pas sérieusement tout nettoyé.
ngmsky

[quote name='Gnidhal' date='7 Jun 2012, 18:10' post='363663']
C'est dans tes logs qu'il faut chercher la faille et pas dans les dernières 24H mais sur les 6 à 12 semaines écoulées.
/quote]

Bonjour grand maître biggrin.gif
Merci pour ton soutien.

Je n'ai toujours pas compris comment vous apprenez à interpréter les instructions les fichiers de log (pour site web) ?
Non seulement ils peuvent contenir des milliers de lignes, dans lesquelles on se pert complement, mais en plus, en lisant une ligne, comment determiner qu'il s'agit d'une intrusion par exemple ?

Je sais que cette question n'a rien a avoir avec oscommerce, mais bon, si on peu quand même en parler, un tout petit peut ça fait toujours du bien.
ngmsky
Citation (chris2000 @ 18 May 2012, 16:17) *
j'ai trouvé dernierement sur mes logs, des dixaines et dixaines de fois ces codes:

92.150.86.25 monsite.com - [18/May/2012:08:11:50 +0200] "POST /catalog/configup3.php HTTP/1.1" 302 210 "-" "-"
89.208.48.75 monsite.com - [18/May/2012:08:22:15 +0200] "POST /catalog/password_forgotten.php?cookies=1&showimg=1&truecss=1&t3779n=1 HTTP/1.1" 200 412 "

le fichier configup3.php n'y es pas d'origine sur l'os,
et apparement il essai de passer par le fichier password_forgotten.php avec les cookies,


Bonjour cher ami.
J'ai quelques questions, si tu peux m'aider :

Est que c'est en par courant les centaines voir des milliers de lignes de tes logs, juste par curiosité, que tu est tombé sur ces codes, ou encore tu as fais spécialement une recherche pour les trouver. Si tu as fais une recherche ça sous entend que tu les aurai déja vu quelque part, mais où peut-on détecter de telles chose à part les logs ?

Pour simplicfier ma question : comment a tu eu l'idée de chercher ses lignes de codes dans tes logs ?



Citation (chris2000 @ 18 May 2012, 16:17) *
et apparement il essai de passer par le fichier password_forgotten.php avec les cookies,


Et là, qu'est ce qui vous a parut bizard ? Sincerement, j'aurai vu ça dans mes logs, je n'aurai pas déviner que c'est une intrusion, puisque :

1/ Si la fonctionnalité des cookies est disponible "et activée" dans mon votre site oscommerce pourquoi un lien contenant le mot cookies vous fais penser à une intrusion ?

2/ Même question pour : password_forgotten.php
Pourquoi vous n'avez pas pensée à l'intrusion pour les autres ligne de logs concernant les autre pages de votre site ?

Merci
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.
Invision Power Board © 2001-2024 Invision Power Services, Inc.