Aller au contenu

Analyse d'un code php (pro!)

joora

Par joora
dans PHP

 Partager

Sujets conseillés

joora

joora

Posté
Posté (modifié)

Bonjour!

Je recherche sur le web des personnes très compétentes en php,

qui sont capables de me dire si un code (et quel code!!!) contient un système d'envoi de données à mon insu ou pas.

Avant d'utiliser un code d'administration de mon site, je veux être sûr qu'il est sûr :hypocrite:

Pourquoi? Car sa provenance est... hmm... en fait c'est un code qui a été utilisé pour tenter de hacker mon site, et que j'ai récupérer car il est mieux fait que tous les codes php que j'ai trouvé pour gérer (éditer, uploader, supprimer...) les fichiers de mon site :D

(Finalement merci à la team de hackers russes pour ce logiciel très réussi!)

Je n'affiche pas le code ici car... ça ne se fait pas...

(et les antivirus ne les aiment pas!)

PS: si quelqu'un peut m'expliquer le principe des backdoor ça serait bien...

comment pourrais-je avoir de telles failles sur mon site? ça aussi il faudrait que je le sache! Car vu la puissance des fichiers si qqn pouvais les faire fonctionner sur mon site ça serait la cata!

Modifié par joora
Lien vers le commentaire
Partager sur d’autres sites
azerty31700

azerty31700

Posté
Posté (modifié)

Bonjour,

J'ai un peu de mal à comprendre :

- Tu nous parle de PHP

- Puis d'anti-virus

- Et de backdoor

Le PHP ne peu pas etre détécté pas un anti-virus étant donné qu'il ne tourne que sur les serveurs :wacko:

Dites moi si je me trompe ...

ps : je suis loins de pouvoir t'aider à exploiter un tel script ayant déjà du mal à créer un simple système d'édition de mes fichiers :P

Modifié par azerty31700
Lien vers le commentaire
Partager sur d’autres sites
joora

joora

Posté
  • Auteur
Posté

Eh si les deux codes php sont reconnus par les antivirus (à raison) comme des trojans.

Et l'un deux utilise des backdoors mais je ne sais pas exactement ce que c'est...

Pourquoi? un code php peut il être néfaste? oui!

En réalité (dans mon cas) le hacker upload des fichiers (jpg ou txt) sur mon site contenant du code php.

Si il parvient à utiliser une faille (laquelle???) qui permet d'éxécuter le code par le serveur, alors il peut avoir acces total à l'ensemble de mon site, bases de données y compris.

Ce code étant donc néfaste, les antivirus scannant les pages internet à la recherche de code malicieux détectent un "virus" lorsque le navigateur affiche le fichier contenant le code (bien que ce ne soit pas dangereux dans mon cas pour l'utilisateur, enfin pas directement).

Lien vers le commentaire
Partager sur d’autres sites
captain_torche

captain_torche

Posté
Posté

Ca n'est pas aussi simple : un script PHP, qu'il soit malveillant ou bienveillant, ne génère au final que du HTML basique, qu'un antivirus ne peut pas associer à une attaque.

Il est plus probable qu'une faille existe dans ton script (injection SQL ou autre), et que les personnes s'en soient servi pour uploader leurs fichiers sur ton serveur.

Lien vers le commentaire
Partager sur d’autres sites
joora

joora

Posté
  • Auteur
Posté

Non ils ont simplement uploadés une image contenant du code php, et deux fichiers textes contenant aussi du php.

(j'utilise la galerie coppermine)

Je pense qu'il doit exister un moyen pour que le serveur interprete le php qui se trouve dans ces fichiers lorsqu'ils sont (mal) incorporés dans la page par coppermine (mais je ne sais pas si ma version de coppermine possede une telle faille ou pas!)

Il ne s'agit pas d'injection SQL...

Cela dit lorsque j'ai donné le lien des fichiers uploadés ( qui ne contiennent que du code php, mais ce code est totalement lisible car les fichiers ne sont pas en .php justement! c'est impossible d'uploader un .php sur mon site) les antivirus ont dit "alert"! (pas le miens, il ne doit pas analyser les pages web)

Mais ce que je demande SURTOUT est un volontaire pour analyser attentivement ces longs codes php!

Car par curiosité j'ai regardé ce qu'ils donnent quand on arrive à les faire interpréter par le serveur (simplement en faisant moi même un fichier .php avec leur code) et là... quelle surprise! Administration totale de mon site! (et même plus mais n'étant pas hacker je ne comprends pas tout) Je voudrais donc l'utiliser pour la gestion en ligne de mon site, en protegent le fichier mar un mot de passe... à condition que je sois sûr qu'ils n'envoient pas des infos sur le site automatiquement!

Lien vers le commentaire
Partager sur d’autres sites
joora

joora

Posté
  • Auteur
Posté

captain_torche : m'autorises-tu à poster le lien ce ces codes ici ou non?

Je ne sais plus quel antivirus avaient les utilisateurs qui sont allé voir les liens...

Moi j'ai AVG et quand je met le fichier texte sur mon ordi il me trouve le trojan (qui porte le nom de la team russe qui l'a faite + backdoor car on peut utiliser des backdoors avec)

Il y a dedans un forumaire de contact de la team donc au pire je peux leur demander, mais je n'ai pas confiance :!:

(et leur site est en russe si ça intéresse qqn...)

L'image contient ces logiciels:

MagicPicture devellopped by securfrog - Version 2.6.6dev the PHPShell is made by the maker - 10/02/2006

-<[{ MagicPicture Main Menu }]>-

==> Haxplorer <== Haxplorer is a server side file browser wich (ab)uses the directory object to list the files and directories stored on a webserver. This handy tools allows you to manage files and directories on a unsecure server with php support.

This entire script is coded for unsecure servers, if your server is secured the script will hide commands or will even return errors to your browser...

==> PHPKonsole <==

PHPKonsole is just a little telnet like shell wich allows you to run commands on the webserver. When you run commands they will run as the webservers UserID. This should work perfectly for managing files, like moving, copying etc. If you're using a linux server, system commands such as ls, mv and cp will be available for you...

This function will only work if the server supports php and the execute commands...

MagicPicture devellopped by securfrog - Version 2.6.6dev the PHPShell is made by the maker - 10/02/2006

Et les fichiers texte : C99Shell v. 1.0 pre-release build #16

Lien vers le commentaire
Partager sur d’autres sites
xou

xou

Posté
Posté

haxplorer et c99shell sont des saloperies d'exploits pour serveurs non-sécurisés, n'importe quel bon antivirus sait les reconnaitre.

Il suffit de virer les fonctions inutiles de php telles que shell_exec, exec... enfin bref, sécuriser son serveur pour le web car php permet également de lancer des commandes et scripts shell. Ce qui peut-être utile pour l'administrer sur un réseau local.

Lien vers le commentaire
Partager sur d’autres sites
joora

joora

Posté
  • Auteur
Posté

Je pense que OVH a déjà tout sécurisé...

mais oui c'est vrai qu'on peut lancer plein de commandes et autres...

Est-ce sans danger de les utiliser comme outil d'administration (sur internet et non en local)?

Je ne veux pas essayer de pirater le serveur d'OVH, simplement de pouvoir éditer mes pages à distance en gros!

Lien vers le commentaire
Partager sur d’autres sites
Occi

Occi

Posté
Posté (modifié)
Un trojan dans un fichier texte ? alors ce n'est pas un vrai fichier texte...

Il est tout à fais possible de mettre un programme dans un fichier .txt et même tout autre type de fichier ...

Ce code étant donc néfaste, les antivirus scannant les pages internet à la recherche de code malicieux détectent un "virus" lorsque le navigateur affiche le fichier contenant le code (bien que ce ne soit pas dangereux dans mon cas pour l'utilisateur, enfin pas directement).

Tu peux copier /coller une partie du code sur le forum sans danger, ce n'est que du texte dont les balises sont encodées avant d'être affichées sur le forum.

Modifié par Occi
Lien vers le commentaire
Partager sur d’autres sites
xou

xou

Posté
Posté
Je pense que OVH a déjà tout sécurisé...

Tu nous apprends enfin que tu es sur du mutualisé... tu aurais dû commencer par là.

Ce n'est pas parce que tu es chez un des leaders qu'il ne dispose pas de failles dans ses serveurs. Les as-tu prévenus au moins ?

mais oui c'est vrai qu'on peut lancer plein de commandes et autres...

Est-ce sans danger de les utiliser comme outil d'administration (sur internet et non en local)?

Quand on sait sécuriser un réseau et un serveur et que nos utilisateurs ne disposent pas de pouvoirs dont ils ne maîtrisent pas la portée: oui, mais le risque 0 n'existe pas.

Je ne veux pas essayer de pirater le serveur d'OVH, simplement de pouvoir éditer mes pages à distance en gros!

Ouais tiens... demain j'installe un virus qui va me formater mon HD car j'ai la flemme de faire un "format c:" !!

Il existe bon nombre d'outils de gestion de fichiers en php, inutile d'utiliser ce genre de saloperie.

Va donc sur sourceforge.net, tu y trouveras ton bonheur à coup sûr !

Lien vers le commentaire
Partager sur d’autres sites
joora

joora

Posté
  • Auteur
Posté
Tu nous apprends enfin que tu es sur du mutualisé... tu aurais dû commencer par là.

Ce n'est pas parce que tu es chez un des leaders qu'il ne dispose pas de failles dans ses serveurs. Les as-tu prévenus au moins ?

Pas encore puisque je ne sais pas encore si je compte l'utiliser, mais je leur demanderai avant bien sûr!

Ouais tiens... demain j'installe un virus qui va me formater mon HD car j'ai la flemme de faire un "format c:" !!

Il existe bon nombre d'outils de gestion de fichiers en php, inutile d'utiliser ce genre de saloperie.

Cela n'est dangereux QUE lorsqu'une personne qui sait s'en servir pour faire le 'mal' est dessus!

Ce n'est pas comme un virus, puisque tout seul le fichier ne fait rien! (enfin c'est dans le doute que je me trompe sur ce point que je poste ici)

C'est comme n'importe quel outil potentiellement dangereux (un rasoir...) : c'est l'usage qu'on en fait qui fait que c'est une "saloperie" ou pas!

Va donc sur sourceforge.net, tu y trouveras ton bonheur à coup sûr !

Justement, j'ai déjà cherché, et c'est la première fois que je vois un code aussi simple à installer (1 seul fichier à mettre, n'importe ou dans le site), qui fonctionne du 1er coup, et qui est aussi complet!

Je n'ai pas trouvé de meilleur outil jusqu'à maintenant...

PS: je sais que mettre le code ici n'est pas dangereux, mais étant donné le genre de fichier que c'est je préfère une autorisation.

Lien vers le commentaire
Partager sur d’autres sites
xou

xou

Posté
Posté

Quand je parlais d'avertir OVH, je ne pensais pas à leur faire part du fait que tu utilises un code considéré illégal (ce qui est une connerie, mais c'est un autre débat) mais que tu t'es fais hacké grâce à ce code.

Sinon, mettre ce genre de script sur un serveur non-sécurisé est de l'inconscience... surtout quand on est en mutualisé et encore plus si on ne sait pas brider ce code: ce qui le laissera accessible à n'importe quel personne.

Enfin... fais ce que tu veux après tout, on t'auras prévenu.

Lien vers le commentaire
Partager sur d’autres sites
joora

joora

Posté
  • Auteur
Posté

Si je les utilise je protégerai l'accès par un htacces, + éventuellement un contrôle placé dans la source php.

Justement je ne me suis pas fait hacker, les fichiers ont été uploadés mais c'est tout, ce n'est pas allé plus loin,

comme je dois valider manuellement les uploads les hackers n'ont pas pu accéder à leurs fichiers, que j'ai par la suite supprimé...

Lien vers le commentaire
Partager sur d’autres sites
  • 2 semaines plus tard...
baboon

baboon

Posté
Posté

Bonjour,

Jooara, Désolé pour le retard dans ma réponse...

Si je les utilise je protégerai l'accès par un htacces, + éventuellement un contrôle placé dans la source php.

Techniquement c'est tout à fait possible et sans grande difficulté. il y a quelques variables (login,pass,ports,url..) à modifier dans le fichier php*c99 que tu m'as envoyé en MP.

C'est un script intérressant est trés bien fait, avec une bonne interface.

Ceci étant dis je ne vais pas m'étendre puisque il s'agit d'un Lame tool pour script kiddies que l'OCLCTIC (l'Office central de lutte contre la criminalité liée aux technologies de linformation) à formelement interdit et la détention est puni par la loi !!!.

Vaste débat, à ce stade, tous les scripts d'administration à distance, ou tous les outils d'audit qui permettent d'améliorer la sécurité pourrait être aussi dans le même panier; Ce qui fait la différence à mon sens c'est l'acte où utilisation qui en est faite et non le script...

L'antivirus le reconnait depuis quelques mois maintenant comme troyen (Sophos et McAFee). Cela dis il y a d'autres interface (type explorer) qui ne le sont pas.

Pour en revenir à l'utilisation de ce "troyen" en tant qu'admin distante, elle ne te protégeras nullement des failles qu'il y a à priori sur ton site:

Tu utilises probablement quelque part un script d'upload de fichier de mauvaise qualité (sécurité), et plus particulièrement un script d'upload d'image... par lequel l'injection s'est effectuée et le troyen à été déposé sur ton disque ... Va falloir patcher pour sécuriser un peu non ?... ;)

Bon Week end

Baboon

Lien vers le commentaire
Partager sur d’autres sites
  • 1 month later...
joora

joora

Posté
  • Auteur
Posté

Bonjour!

j'avais laissé tombé ce sujet sur ce forum étant donné qu'il n'y avait plus de réponse, et que je m'attendais à une réponse MP (donc prévenue par mail) de votre part...

Merci de me dire qu'il est interdit de le posséder, je m'en doutais mais je n'étais pas sûr...

Merci pour les infos aussi.

J'ai bien fait de ne pas laisser la source publique.

Dommage quand même qu'il soit interdit de le posséder, car cela n'empêche PAS de se le procurer, il suffit de fouiller juste UN PEU pour avoir cet outil ou des similaires (je consulte parfois des sites où discutent les hackers (parfois des vrais, parfois pas, souvent c'est en arabe et je pige rien aussi) pour me mettre un minimum au courant de la façon dont ils attaquent et donc pour savoir me protéger... j'en ai appris des choses à ne pas faire d'ailleurs) :hypocrite:

Bien entendu je n'ai pas l'intention de hacker qui que se soit, si c'était le cas d'ailleurs je n'aurais pas posté ici...

Je signale juste que ce "méchant" fichier QUI EST ACTUELLEMENT UTILISE PAR DES HACKERS (c'est pas une antiquité, je l'ai vu a l'action dans une vidéo récente envoyée par un hacker algérien à sa victime), je l'ai donné à un de mes hébergeurs après avoir constaté qu'on pouvait accéder à des fichiers sensibles sur le mutu, et ça lui a permis de corriger ses failles de sécurité... d'ailleurs la sécurité des mutu laisse parfois à désirer... (constat perso + forum wri section des sites hackés où le hacker prétend à une faille chez Sivit)

Bon je ne m'étendrai pas non plus sur ce sujet délicat.

Pour revenir à mon site, le fichier a été uploadé via la galerie copermine proposée par OVH en module.

Mais comme je dois valider manuellement les fichiers d'abord..., je pense que soit le hacker n'a pas pu localiser le fichier, soit c'était tout simplement un robot (c'est de plus en plus courant) qui a testé les failles et en est resté là. (en fait c'est sûr que c'est un robot qui a fait l'upload)

C'est le 3e fichier infecté uploadé sur la galerie, que je vais donc fermer d'ailleurs pour ne plus avoir de risque...

Mais je voudrais faire un coup de gueule à OVH :mad2: , qui propose des modules comme gallery2, copermine, phpBB, etc... MAIS seule l'installation auto du site fonctionne, pas d'installation manuelle possible (pour gallery 2 y'a toujours une étape qui passe pas, moi j'ai abandonné) donc IMPOSSIBLE de mettre à jour!!! (donc super dangereux une fois que des failles sont révélées on est vulnerable, surtout les lammers qui sont capables de s'attaquer à n'importe quel site juste histoire de faire un "exploit" qui n'en est pas un...)

De plus les 3/4 des fonctions, donc certaines de sécurité, ne fonctionnent parfois PAS (je parle de gallery2 chez OVH mutu) donc ils feraient mieux de retirer les modules bourrés de failles qu'on ne peux pas mettre à jour au lieu de proposer des portes sans serrures aux clients!

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...