Aller au contenu

recherche des conseils pour sécuriser un site


cookie01

Sujets conseillés

Bonsoir à tous, je recherche quelqu'un qui s'y connaisse très très bien en php, afin de me conseiller pour sécuriser mon site ainsi que mon forum...

Mon problème : Un internaute m'espionne et sait tout de moi et il s'en vante en plus, et cela depuis des mois. Il a été jusqu'à découvrir mon adresse et mon numéro de téléphone... et cela m'inquiète, surtout qu'il est webmaster professionnel. C'est pour cela que je cherche une personne qui s'y connaisse très bien en php.

Il a trouvé mais infos perso par le biais du Whois sur OVH mais vu que mon site n'est pas très sécurité, il a réussi à lire les messages d'un forum qui été caché et réservé aux modérateurs !!!

Je suis débutant en php et cela me permettera d'apprendre de nouvelles choses sur php.

Merci d'avance :)

Lien vers le commentaire
Partager sur d’autres sites

Le premier conseil que je peut te donner est de mettre à jour ton forum.

Généralement ce genre de faille est assez ancienne et des mises à jour existes.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Ce n'est pas un expert en php qu'il te faut mais juste appliquer des correctifs sur ton forum si ils existent . :)

edit : hoops trop rapide pour moi K-Ola :-)

Modifié par astrofiles
Lien vers le commentaire
Partager sur d’autres sites

Le premier conseil que je peut te donner est de mettre à jour ton forum.

Généralement ce genre de faille est assez ancienne et des mises à jour existes.

je l'ai toujours tenue à jour justement, mais je crois qu'il n'y a pas grand chose qui stop ce webmaster ... :!:

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Nous n'avons pas d'URL.

Dur de voir quelle peut être la cause ;)...

Le Hub n'a pas pour vocation de travailler sur ton site, mais de donner des conseils et marches à suivres pour améliorer toi-même ton site. Si tu nous donnes l'URL, nous pourrons peut-être regarder rapidement ce qui peut ne pas aller !

Bonne chance en tout cas...

S'il va trop loin, tu peux toujours récupérer son IP, tenter de le bannir par IP (déjà ça de gagné s'il est en IP fixe et qu'il veut pas chercher à contourner) puis de contacter son FAI en expliquant la situation.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Ce n'est pas un expert en php qu'il te faut mais juste appliquer des correctifs sur ton forum si ils existent . :)

edit : hoops trop rapide pour moi K-Ola :-)

oui ils existent bien des petits mods phpbb pour la sécurit mais si c'est pas plus terrible que les codes initiales du forum... d'après lui php est vraiment "nul".

J'ai entendu parler de "Mod_Security". "Ce module Open-source disponible pour Apache est à lui seul un détecteur de tentative dintrusion et un rempart face à une multitude dattaques connues."

http://www.vulnerabilite.com/actu/20031021...d_security.html

Est ce bien ???

Bonjour,

Nous n'avons pas d'URL.

Dur de voir quelle peut être la cause ;)...

Le Hub n'a pas pour vocation de travailler sur ton site, mais de donner des conseils et marches à suivres pour améliorer toi-même ton site. Si tu nous donnes l'URL, nous pourrons peut-être regarder rapidement ce qui peut ne pas aller !

Bonne chance en tout cas...

S'il va trop loin, tu peux toujours récupérer son IP, tenter de le bannir par IP (déjà ça de gagné s'il est en IP fixe et qu'il veut pas chercher à contourner) puis de contacter son FAI en expliquant la situation.

Voici l'url : http://acdcbackinblack.net/index2.php ;)

Je veux juste des conseils, ce n'est pas à vous de faire tout le travail pour moi, ce qui ne me serait pas bénéfique... ;)

Je peux faire comment pour récupérer son IP et tenter de la bannir car comme tu dis ce n'est pas sûr qu'elle soit fixe...

Je ne savais pas que je pouvais contacter son FAI pour lui expliquer la situation mais j'hésite à faire ça car il a mon adresse et tout maintenant. :unsure:

Lien vers le commentaire
Partager sur d’autres sites

Mod_security ne peut s'installer que si tu es sur un serveur dédié... ce qui ne semble pas être le cas (tu es en mutualisé OVH).

L'avantage des serveurs dédiés OVH est qu'ils sont sûrs. Donc la faille vient certainement de phpBB.

Il est clair que PhpBB peut se montrer être une véritable passoire si on oublie de le mettre à jour. As-tu bien fait la mise à jour vers la version 2.0.22 ?

http://www.webmaster-hub.com/index.php?sho...c=31150&hl=

Ce "malfaisant" est-il membre simple sur ton forum, et n'a-t-il pas laissé un login lui donnant des droits de modérateur ou pire d'admin ?

Regarde les comptes d'admin et modérateur actuels, et interroge tes modos pour savoir s'il connaît l'un d'eux.

Il est aussi possible que l'un de tes modérateurs ne fasse pas preuve de la réserve qu'il devrait avoir dans le cadre de sa fonction. Dans ce cas je ne saurais que te conseiller de le bannir rapidement. :evil:

je l'ai toujours tenue à jour justement, mais je crois qu'il n'y a pas grand chose qui stop ce webmaster ... q_smallexcla.gif

Un bon webmaster se doit de stopper ce type de membre indélicat.

Et qu'il connaisse ton adresse ne change rien, il ne faut pas te laisser intimider par ce détail.

En ce qui concerne tes coordonnées perso, elles sont faciles à trouver par un simple whois sur ton nom de domaine. Il n'y a rien de bien spectaculaire à trouver ton numéro de téléphone. S'il s'en vante, c'est qu'il n'a rien compris à l'Internet, de ce fait tu peux le virer sans état d'âme :)

Lien vers le commentaire
Partager sur d’autres sites

Il est clair que PhpBB peut se montrer être une véritable passoire si on oublie de le mettre à jour. As-tu bien fait la mise à jour vers la version 2.0.22 ?

Ce "malfaisant" est-il membre simple sur ton forum, et n'a-t-il pas laissé un login lui donnant des droits de modérateur ou pire d'admin ?

Regarde les comptes d'admin et modérateur actuels, et interroge tes modos pour savoir s'il connaît l'un d'eux.

Il est aussi possible que l'un de tes modérateurs ne fasse pas preuve de la réserve qu'il devrait avoir dans le cadre de sa fonction. Dans ce cas je ne saurais que te conseiller de le bannir rapidement. :evil:

Un bon webmaster se doit de stopper ce type de membre indélicat.

Et qu'il connaisse ton adresse ne change rien, il ne faut pas te laisser intimider par ce détail.

En ce qui concerne tes coordonnées perso, elles sont faciles à trouver par un simple whois sur ton nom de domaine. Il n'y a rien de bien spectaculaire à trouver ton numéro de téléphone. S'il s'en vante, c'est qu'il n'a rien compris à l'Internet, de ce fait tu peux le virer sans état d'âme :)

je n'ai malheureusement pas fait la mise à jour du forum derrièrement car j'ai plusieurs mods installés et si je fais la mise à jour, ils vont disparaitre et surement créer des erreurs... (je suis à l'avant dernière version 2.0.21)

Concernant mes modos ils sont tous rentrés en contact avec lui mais j'ai une entière confiance en eux, et puis ils ne sont pas admin ;)

Le gars n'est même pas inscrit sur mon forum, il a été inscrit mais j'ai supprimé son compte... Apparemment il infiltre mon forum sans être inscrit !!!

Je suis près à le bloquer définitivement :evil:

Modifié par cookie01
Lien vers le commentaire
Partager sur d’autres sites

je n'ai malheureusement pas fait la mise à jour du forum derrièrement car j'ai plusieurs mods installés et si je fais la mise à jour, ils vont disparaitre et surement créer des erreurs... (je suis à l'avant dernière version 2.0.21)

Je viens de découvrir que l'on peut faire une mise à jour sur chaque fichier, bien pratique lorsque l'on a des mods... je le mets à jour le plus vite possible ;)

Lien vers le commentaire
Partager sur d’autres sites

Bon voilà j'ai mis à jour mon forum, et j'ai sécurisé 2-3 trucs avec un tuto trouvé sur le net ;)

Sur mon site, j'avais avec l'aide de quelqu'un sécurisé mon include car un hacker m'avait piraté en exécutant une requête à partir de ma variable $zone. Mais ça c'est fait.

Y aurait t'il autre chose à sécurisé, utiliser un .htaccess ??? J'avais essayé de mettre un .htaccess mais pas moyen qu'il fonctionne.

Je rentrais les identifiants mais rien à faire, il me remmettait la fenêtre de connexion...

Et puis où faut il mettre un .htaccess si ce n'est dans le dossier admin du site ???

Merci d'avance :)

Lien vers le commentaire
Partager sur d’autres sites

Bon voilà j'ai mis à jour mon forum, et j'ai sécurisé 2-3 trucs avec un tuto trouvé sur le net ;)

Sur mon site, j'avais avec l'aide de quelqu'un sécurisé mon include car un hacker m'avait piraté en exécutant une requête à partir de ma variable $zone. Mais ça c'est fait.

Y aurait t'il autre chose à sécurisé, utiliser un .htaccess ??? J'avais essayé de mettre un .htaccess mais pas moyen qu'il fonctionne.

Je rentrais les identifiants mais rien à faire, il me remmettait la fenêtre de connexion...

Et puis où faut il mettre un .htaccess si ce n'est dans le dossier admin du site ???

Merci d'avance :)

Tu proteges le repertoire admin avec un htaccess.

Lien vers le commentaire
Partager sur d’autres sites

Voilà j'ai ajouté un .htaccess à mon dossier admin en suivant le totu du Hub ;) mais rien à faire...

Je rentre les identifiants, je clique sur ok et il me remmettait la fenêtre de connexion... pourquoi donc ???

Contenu de .htaccess :

AuthUserFile /.htpasswd
AuthGroupFile /dev/null
AuthName "Acces Restreint"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>

Contenu de .htpasswd :

pseudo :pass

Il y a t'il une erreur ?

Merci ;)

Modifié par cookie01
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Le mot de passe doit être crypté pour que ça marche convenablement. Dans les outils du Hub, tu peux crypter le mot de passe que tu souhaites tout en bas... Remplace ensuite ton htpasswd ;)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Le mot de passe doit être crypté pour que ça marche convenablement. Dans les outils du Hub, tu peux crypter le mot de passe que tu souhaites tout en bas... Remplace ensuite ton htpasswd ;)

ça ne marche toujours pas :( je comprends pas pourquoi ? Y aurait t'il une configuration à faire sur son hébergement ?

Lien vers le commentaire
Partager sur d’autres sites

Essaie dans le .htaccess d'indiquer le chemin absolu vers le .htpasswd (un truc peut-être du genre /home/a/5/site15245/.htpasswd (j'invente)) au lieu du chemin relatif.

Et vérifie que tu ne mets pas d'espace :

pseudo:mdp

Lien vers le commentaire
Partager sur d’autres sites

Quelles sont les adresses que tu as renseignées pour ton .htpasswd dans ton .htaccess ? Dans quels dossiers de ton FTP les as-tu placés, les deux ?

Lien vers le commentaire
Partager sur d’autres sites

AuthUserFile .htpasswd

Essaye ça, à tout hasard. Je me méfie parfois des absolus qui marchent pas toujours très bien (par exemple dans le GD, où ça marche.. une fois sur deux)

Lien vers le commentaire
Partager sur d’autres sites

AuthUserFile .htpasswd

Essaye ça, à tout hasard. Je me méfie parfois des absolus qui marchent pas toujours très bien (par exemple dans le GD, où ça marche.. une fois sur deux)

non ça ne marche toujours pas :( franchement je n'y comprends plus rien...

Lien vers le commentaire
Partager sur d’autres sites

AuthUserFile /www/nom_du_dossier/.htpasswd

j'ai mis ça et ça marche pas :(

Ton chemin absolu n'est probablement pas bon.

Essaie ce script:

<?php
$absolute_path = dirname(__FILE__);
echo "Le chemin absolu est " . $absolute_path . "\n";
?>

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...