Bonjour!

Je recherche sur le web des personnes très compétentes en php,
qui sont capables de me dire si un code (et quel code!!!) contient un système d'envoi de données à mon insu ou pas.

Avant d'utiliser un code d'administration de mon site, je veux être sûr qu'il est sûr

Pourquoi? Car sa provenance est... hmm... en fait c'est un code qui a été utilisé pour tenter de hacker mon site, et que j'ai récupérer car il est mieux fait que tous les codes php que j'ai trouvé pour gérer (éditer, uploader, supprimer...) les fichiers de mon site
(Finalement merci à la team de hackers russes pour ce logiciel très réussi!)

Je n'affiche pas le code ici car... ça ne se fait pas...
(et les antivirus ne les aiment pas!)

PS: si quelqu'un peut m'expliquer le principe des backdoor ça serait bien...
comment pourrais-je avoir de telles failles sur mon site? ça aussi il faudrait que je le sache! Car vu la puissance des fichiers si qqn pouvais les faire fonctionner sur mon site ça serait la cata!

Bonjour,

J'ai un peu de mal à comprendre :

- Tu nous parle de PHP
- Puis d'anti-virus
- Et de backdoor

Le PHP ne peu pas etre détécté pas un anti-virus étant donné qu'il ne tourne que sur les serveurs

Dites moi si je me trompe ...

ps : je suis loins de pouvoir t'aider à exploiter un tel script ayant déjà du mal à créer un simple système d'édition de mes fichiers

Eh si les deux codes php sont reconnus par les antivirus (à raison) comme des trojans.
Et l'un deux utilise des backdoors mais je ne sais pas exactement ce que c'est...

Pourquoi? un code php peut il être néfaste? oui!
En réalité (dans mon cas) le hacker upload des fichiers (jpg ou txt) sur mon site contenant du code php.
Si il parvient à utiliser une faille (laquelle???) qui permet d'éxécuter le code par le serveur, alors il peut avoir acces total à l'ensemble de mon site, bases de données y compris.
Ce code étant donc néfaste, les antivirus scannant les pages internet à la recherche de code malicieux détectent un "virus" lorsque le navigateur affiche le fichier contenant le code (bien que ce ne soit pas dangereux dans mon cas pour l'utilisateur, enfin pas directement).

Ca n'est pas aussi simple : un script PHP, qu'il soit malveillant ou bienveillant, ne génère au final que du HTML basique, qu'un antivirus ne peut pas associer à une attaque.
Il est plus probable qu'une faille existe dans ton script (injection SQL ou autre), et que les personnes s'en soient servi pour uploader leurs fichiers sur ton serveur.

Non ils ont simplement uploadés une image contenant du code php, et deux fichiers textes contenant aussi du php.
(j'utilise la galerie coppermine)

Je pense qu'il doit exister un moyen pour que le serveur interprete le php qui se trouve dans ces fichiers lorsqu'ils sont (mal) incorporés dans la page par coppermine (mais je ne sais pas si ma version de coppermine possede une telle faille ou pas!)
Il ne s'agit pas d'injection SQL...

Cela dit lorsque j'ai donné le lien des fichiers uploadés ( qui ne contiennent que du code php, mais ce code est totalement lisible car les fichiers ne sont pas en .php justement! c'est impossible d'uploader un .php sur mon site) les antivirus ont dit "alert"! (pas le miens, il ne doit pas analyser les pages web)

Mais ce que je demande SURTOUT est un volontaire pour analyser attentivement ces longs codes php!
Car par curiosité j'ai regardé ce qu'ils donnent quand on arrive à les faire interpréter par le serveur (simplement en faisant moi même un fichier .php avec leur code) et là... quelle surprise! Administration totale de mon site! (et même plus mais n'étant pas hacker je ne comprends pas tout) Je voudrais donc l'utiliser pour la gestion en ligne de mon site, en protegent le fichier mar un mot de passe... à condition que je sois sûr qu'ils n'envoient pas des infos sur le site automatiquement!

De quels antivirus parles-tu, alors ?

bonjour à tous,
Joora, si tu veux faire un zip du code et de images suspectes, et donner une url de téléchargement (en MP ou non) je veux bien jeter un oeil...

@+

captain_torche : m'autorises-tu à poster le lien ce ces codes ici ou non?

Je ne sais plus quel antivirus avaient les utilisateurs qui sont allé voir les liens...
Moi j'ai AVG et quand je met le fichier texte sur mon ordi il me trouve le trojan (qui porte le nom de la team russe qui l'a faite + backdoor car on peut utiliser des backdoors avec)

Il y a dedans un forumaire de contact de la team donc au pire je peux leur demander, mais je n'ai pas confiance
(et leur site est en russe si ça intéresse qqn...)

L'image contient ces logiciels:



Et les fichiers texte : C99Shell v. 1.0 pre-release build #16

Un trojan dans un fichier texte ? alors ce n'est pas un vrai fichier texte...

haxplorer et c99shell sont des saloperies d'exploits pour serveurs non-sécurisés, n'importe quel bon antivirus sait les reconnaitre.

Il suffit de virer les fonctions inutiles de php telles que shell_exec, exec... enfin bref, sécuriser son serveur pour le web car php permet également de lancer des commandes et scripts shell. Ce qui peut-être utile pour l'administrer sur un réseau local.

Je pense que OVH a déjà tout sécurisé...
mais oui c'est vrai qu'on peut lancer plein de commandes et autres...

Est-ce sans danger de les utiliser comme outil d'administration (sur internet et non en local)?

Je ne veux pas essayer de pirater le serveur d'OVH, simplement de pouvoir éditer mes pages à distance en gros!

Il est tout à fais possible de mettre un programme dans un fichier .txt et même tout autre type de fichier ...



Tu peux copier /coller une partie du code sur le forum sans danger, ce n'est que du texte dont les balises sont encodées avant d'être affichées sur le forum.

Tu nous apprends enfin que tu es sur du mutualisé... tu aurais dû commencer par là.

Ce n'est pas parce que tu es chez un des leaders qu'il ne dispose pas de failles dans ses serveurs. Les as-tu prévenus au moins ?



Quand on sait sécuriser un réseau et un serveur et que nos utilisateurs ne disposent pas de pouvoirs dont ils ne maîtrisent pas la portée: oui, mais le risque 0 n'existe pas.



Ouais tiens... demain j'installe un virus qui va me formater mon HD car j'ai la flemme de faire un "format c:" !!
Il existe bon nombre d'outils de gestion de fichiers en php, inutile d'utiliser ce genre de saloperie.

Va donc sur sourceforge.net, tu y trouveras ton bonheur à coup sûr !

Pas encore puisque je ne sais pas encore si je compte l'utiliser, mais je leur demanderai avant bien sûr!



Cela n'est dangereux QUE lorsqu'une personne qui sait s'en servir pour faire le 'mal' est dessus!
Ce n'est pas comme un virus, puisque tout seul le fichier ne fait rien! (enfin c'est dans le doute que je me trompe sur ce point que je poste ici)
C'est comme n'importe quel outil potentiellement dangereux (un rasoir...) : c'est l'usage qu'on en fait qui fait que c'est une "saloperie" ou pas!



Justement, j'ai déjà cherché, et c'est la première fois que je vois un code aussi simple à installer (1 seul fichier à mettre, n'importe ou dans le site), qui fonctionne du 1er coup, et qui est aussi complet!
Je n'ai pas trouvé de meilleur outil jusqu'à maintenant...


PS: je sais que mettre le code ici n'est pas dangereux, mais étant donné le genre de fichier que c'est je préfère une autorisation.

Je n'ai pas dit .txt, j'ai dit j'ai dit fichier texte...

Quand je parlais d'avertir OVH, je ne pensais pas à leur faire part du fait que tu utilises un code considéré illégal (ce qui est une connerie, mais c'est un autre débat) mais que tu t'es fais hacké grâce à ce code.

Sinon, mettre ce genre de script sur un serveur non-sécurisé est de l'inconscience... surtout quand on est en mutualisé et encore plus si on ne sait pas brider ce code: ce qui le laissera accessible à n'importe quel personne.


Enfin... fais ce que tu veux après tout, on t'auras prévenu.

Si je les utilise je protégerai l'accès par un htacces, + éventuellement un contrôle placé dans la source php.



Justement je ne me suis pas fait hacker, les fichiers ont été uploadés mais c'est tout, ce n'est pas allé plus loin,
comme je dois valider manuellement les uploads les hackers n'ont pas pu accéder à leurs fichiers, que j'ai par la suite supprimé...

Bonjour,
Jooara, Désolé pour le retard dans ma réponse...

Techniquement c'est tout à fait possible et sans grande difficulté. il y a quelques variables (login,pass,ports,url..) à modifier dans le fichier php*c99 que tu m'as envoyé en MP.
C'est un script intérressant est trés bien fait, avec une bonne interface.
Ceci étant dis je ne vais pas m'étendre puisque il s'agit d'un Lame tool pour script kiddies que l'OCLCTIC (l'Office central de lutte contre la criminalité liée aux technologies de l’information) à formelement interdit et la détention est puni par la loi !!!.

Vaste débat, à ce stade, tous les scripts d'administration à distance, ou tous les outils d'audit qui permettent d'améliorer la sécurité pourrait être aussi dans le même panier; Ce qui fait la différence à mon sens c'est l'acte où utilisation qui en est faite et non le script...
L'antivirus le reconnait depuis quelques mois maintenant comme troyen (Sophos et McAFee). Cela dis il y a d'autres interface (type explorer) qui ne le sont pas.

Pour en revenir à l'utilisation de ce "troyen" en tant qu'admin distante, elle ne te protégeras nullement des failles qu'il y a à priori sur ton site:
Tu utilises probablement quelque part un script d'upload de fichier de mauvaise qualité (sécurité), et plus particulièrement un script d'upload d'image... par lequel l'injection s'est effectuée et le troyen à été déposé sur ton disque ... Va falloir patcher pour sécuriser un peu non ?...

Bon Week end

Baboon

Pas de nouvelles bonnes nouvelles...

Bonjour!

j'avais laissé tombé ce sujet sur ce forum étant donné qu'il n'y avait plus de réponse, et que je m'attendais à une réponse MP (donc prévenue par mail) de votre part...

Merci de me dire qu'il est interdit de le posséder, je m'en doutais mais je n'étais pas sûr...
Merci pour les infos aussi.
J'ai bien fait de ne pas laisser la source publique.

Dommage quand même qu'il soit interdit de le posséder, car cela n'empêche PAS de se le procurer, il suffit de fouiller juste UN PEU pour avoir cet outil ou des similaires (je consulte parfois des sites où discutent les hackers (parfois des vrais, parfois pas, souvent c'est en arabe et je pige rien aussi) pour me mettre un minimum au courant de la façon dont ils attaquent et donc pour savoir me protéger... j'en ai appris des choses à ne pas faire d'ailleurs)
Bien entendu je n'ai pas l'intention de hacker qui que se soit, si c'était le cas d'ailleurs je n'aurais pas posté ici...

Je signale juste que ce "méchant" fichier QUI EST ACTUELLEMENT UTILISE PAR DES HACKERS (c'est pas une antiquité, je l'ai vu a l'action dans une vidéo récente envoyée par un hacker algérien à sa victime), je l'ai donné à un de mes hébergeurs après avoir constaté qu'on pouvait accéder à des fichiers sensibles sur le mutu, et ça lui a permis de corriger ses failles de sécurité... d'ailleurs la sécurité des mutu laisse parfois à désirer... (constat perso + forum wri section des sites hackés où le hacker prétend à une faille chez Sivit)

Bon je ne m'étendrai pas non plus sur ce sujet délicat.

Pour revenir à mon site, le fichier a été uploadé via la galerie copermine proposée par OVH en module.
Mais comme je dois valider manuellement les fichiers d'abord..., je pense que soit le hacker n'a pas pu localiser le fichier, soit c'était tout simplement un robot (c'est de plus en plus courant) qui a testé les failles et en est resté là. (en fait c'est sûr que c'est un robot qui a fait l'upload)
C'est le 3e fichier infecté uploadé sur la galerie, que je vais donc fermer d'ailleurs pour ne plus avoir de risque...

Mais je voudrais faire un coup de gueule à OVH , qui propose des modules comme gallery2, copermine, phpBB, etc... MAIS seule l'installation auto du site fonctionne, pas d'installation manuelle possible (pour gallery 2 y'a toujours une étape qui passe pas, moi j'ai abandonné) donc IMPOSSIBLE de mettre à jour!!! (donc super dangereux une fois que des failles sont révélées on est vulnerable, surtout les lammers qui sont capables de s'attaquer à n'importe quel site juste histoire de faire un "exploit" qui n'en est pas un...)
De plus les 3/4 des fonctions, donc certaines de sécurité, ne fonctionnent parfois PAS (je parle de gallery2 chez OVH mutu) donc ils feraient mieux de retirer les modules bourrés de failles qu'on ne peux pas mettre à jour au lieu de proposer des portes sans serrures aux clients!