Jump to content
Sign in to follow this  
Vilonovo

Intrusion malgré .htaccess

Rate this topic

Recommended Posts

Bonjour,

Je viens vous demander de l'aide car, peut-être, vous pourriez m'aider. Je suis en effet totalement perdu!

Voila les faits:

J'ai un site que je réalise pour mon frère mais je ne suis nullement un webmaster juste un bricoleur et il y a donc beaucoup de choses qui m'échappent!!

Il s'agit de http://www.apim-authentique.fr.Il comporte deux parties: anglais et français.

J'ai adapté, tant bien que mal, un programme libre: Open Realty.Chacune de ces parties comporte une section administration accessible par un utilisateur doté d'un mot de passe.J'ai commencé par travailler sur la version française du site adaptant au fur et à mesure la version anglaise. j'ai donc changé le mot de passe le l'administration française mais laissé d'origine le mot de passe de l'admin anglaise qui était "password". Là un plaisantin s'amusait à créer des membres (dans la version anglaise bien sur), ce qui est autorisé dans ce script. Lorsque je m'en suis aperçu (le travail sur le site a été interrompu quelques mois pour cause de maladie) j'ai bien entendu immédiatement changé le mot de passe.Rien n'y a fait il continuait impertubablement à créer des membres. J'ai donc ajouté un fichier .htaccess dans le dossier admin avec un mot de passe stocké dans un autre dossier qui lui même avait un .htaccess interdisant ce dossier à quiconque et même à moi.Aucun problème pour mon plaisantin qui me narguait en créant ce jour là plusieurs membres. Hier, dimanche 6 septembre, n'en pouvant plus j'ai, par un autre fichier .htaccess, interdit à tous les dossiers admin anglais et français.

J'étais persuadé que par ce moyen il ne pourrait plus m'ennuyer et voilà que ce matin je vois qu'il est encore venu et qu'il m'a encore crée un membre.

Mais comment fait-il? Par où passe-t-il? Peut-être avez vous une idée?

Merci de bien vouloir m'aider.

Share this post


Link to post
Share on other sites

Bonjour et bienvenue sur le Hub :)

D'abord un conseil Un mot de passe doit être compliqué. Des lettres+des chiffres qui n'ont aucun sens ! C'est sur que "password" n'était pas judicieux.

Sinon, tu parles de fichier .htaccess... As tu bien paramétré ? Je lis sur la publi du Hub : Le fichier .htaccess

Ne stockez donc pas sur votre serveur Web d’informations dont la divulgation pourrait vous pénaliser.

As-tu stocké ton nouveau mdp sur ton serveur ?

L’usage veut que ce fichier soit souvent nommé .htpasswd, mais ce n’est pas du tout une obligation. Il est même conseillé d’utiliser un autre nom, le fichier sera d’autant plus difficile à trouver. Ne le mettez pas dans un répertoire qui fait partie du site mais placez-le plutôt en dehors de cette arborescence si vous en avez le choix.

As-tu nommé ton fichier .htpasswd ?

Malheureusement quand un plaisantin arrive sur ton serveur ou ton site c'est qu'il n'est pas si débutant que cela. Donc, il connait toutes les faiblesses et toutes les parades qu'un débutant peut mettre en place. Donc il va tout essayer pour continuer son oeuvre.

Soit tranquille, des professionnels vont venir t'aider. Ma participation se limitera à cela, car à par lire des articles je ne suis pas une pro ! :P Mais si Dan le dit dans son article c'est qu'il doit y avoir de bonnes raisons.

Share this post


Link to post
Share on other sites

Alors, plusieurs pistes:

1. Vérifier que le CMS que tu utilises (open realty) est bien a la dernière version, et qu'il n'y a pas dans cette version-là d'exploit connu non bloqué.

2. Regarder dans tes logs pour voir par où il est passé. Si ton admin est si bien vérouillée que ça (as-tu testé?), il est probable qu'il utilise un autre chemin (d'où le point ci-dessus). Trouver, bloquer.

Je suppose qu'il ne se contente pas de créer des utliisateurs pour le fun, ça doit être du spam, non?

Jacques.

Share this post


Link to post
Share on other sites

Si tu as tous tes scripts sur un serveur local, supprime ceux du serveur de prod (en les sauvegardant auparavant pour trouver la provenance de la faille) et uploade tes scripts sur le serveur. Avec la modification des htaccess ainsi que des codes d'accès ftp, ça devrait être bon

Share this post


Link to post
Share on other sites

Rien ne dit que la faille est au niveau de l'accès web. .htaccess ne protège que les accès via le web, mais si l'intru a tes identifiants FTP, .htaccess ne le bloque pas. Il est donc indispensable de changer tous tes identifiants d'accès au site (interface d'administration de l'hébergement, admin du CMS, FTP, SSH, ...).

Jean-Luc

Share this post


Link to post
Share on other sites

Bonjour à tous,

Je suis vraiment désolé de n'avoir pas pu répondre plus tôt mais j'ai eu un problème de sante. Je me suis mangé la grippe h1n1.

En tout cas merci d'avoir bien voulu vous pencher sur mon problème qui est maintenant résolu.

J'ai tout détruit et tout reconstruit dans la foulée en ayant, bien entendu, le soin de changer mes mots de passe.

Un grand merci àtous.

Vous êtes formidables.

Share this post


Link to post
Share on other sites
Je me suis mangé la grippe h1n1.

Il va falloir fermer le hub pour éviter la contagion!

Plus sérieusement, bon rétablissement!

Jacques.

Share this post


Link to post
Share on other sites

Bonjour :)

A titre d'information, les htaccess ne protège en rien contre les attaques du genre injection mysql ou html car cela exploite une faille soit du forum soit d'un hack installé sur celui-ci, pour accéder directement à la base de donné, donc, aucun accès ftp.

Autre chose, quand vous crée un htaccess, supprimer les balises <Limit GET POST> et </Limit>, il y a une faille.

Voir cet article: http://www.emiliengirault.fr/securite-informatique/contourner-htaccess-limit-get-post/

Share this post


Link to post
Share on other sites

La sécurité ça se traite à plusieurs niveaux (tous, de préférence).

Comme cela a été souligné, il faut vérifier que tous les composants sont à jour : os, serveur, php, db et cms.

Les exploits sont aisément disponibles et la plupart des attaques utilisent des procédés publiés, en profitant de la paresse de mise à jour des webmaster et hébergeurs.

Le mot de passe évidemment.

Les login: un minimum d'"ingénierie sociale" permet de trouver les login de beaucoup de sites (au hasard le prénom du webmaster); c'est déjà la moitié du boulot.

Le paramétrage : le mode "debug" est bien utile en dev, mais il révèle des informations potentiellement intéressantes pour les petits malins en production.

PHP ou autre, ça se configure: il est souvent possible d'ajuster la taille des fichiers uploadés, le temps max d'execution etc. Unpetit script comme phpsecinfo permet de s'assurer de la sécurité de sa config.

Le choix du cms: c'est un point crucial; un typolight qui se bloque pendant 5 minutes au bout de trois tentatives de connexion ratées, ça limite fortement la brute force.

En consultant la fréquence de mise à jour, et les alertes sécu on a déjà une bonne idée de sa qualité sécuritaire.

Htaccess : pour limiter les accès, voire mettre des filtres à l'ip (pour l'admin)

Les nom de dossier ou url : on essaie d'éviter admin et compagnie

"Google yourself" : vérifier que google n'indexe pas des trucs qu'on a pas envie de divulguer(comme tes pages d'erreurs).Au besoin on les désindexe avec gwt.

Un petit coup de scanner de vulnérabilités, style wikto ou acunetix.

La vraie vie : le post-it avec mdp sur le moniteur ça rend bien service...

Enfin, est c'est là le plus important, un hacker doué arrivera toujours à passer et défacer un site.

Il faut être capable de tout effacer (y compris la db) et de tout remettre en ligne en moins d'une heure. Pas bien compliqué, mais ça demande un peu d'organisation et des sauvegardes régulières(automatisables).

Bon courage

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By kevinjoseph
      Bonjour, j’ai un gros problème sur mon site Wordpress . Du jour au lendemain, mon site wordpress fais une redirection vers un autre site wordpress que j’ai crée ,sans que je touche à quoi que ce soit. Quand j’essai d’aller sur l’admin pour désactiver les plugins et voir d’où peut venir le problème. Impossible d’accéder, sa me redirige vers l’admin de l’autre site. Au final il est impossible que j’accède au site via (google, la bare de recherche, les favoris, l’admin…) pour voir ce qu’il fonction pas, j’ai juste accès au FTP. J'ai essayé de voir d'où pouvez venir ce bug en supprimant les plugins, le théme, mes derniers modifications, regarder sur le .htaccess si il y avais quelque par le nom de domaine de l'autre site écrit. Ca n'a rien changer, le site continue de ce rediriger automatiquement vers l'autre site. Si vous avez une idée d’où sa peut venir ou comment faire pour arranger ça et surtout comment éviter que sa ce reproduise. Sa m’aiderai beaucoup, merci d’avance.
      voici le code du .htaccess:
       
      # BEGIN WordPress
      <IfModule mod_rewrite.c>
      RewriteEngine On
      RewriteBase /
      RewriteRule ^index\.php$ - [L]
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteRule . /index.php [L]
      </IfModule>

      # END WordPress
      ~   Ludovic • 16:28    
    • By leobk
      Bonjour,
       
      J'ai un sous-domaine www.fr.monsite.com dédié pour la réservation des vols
      j'ai redirigé récemment ce sous-domaine vers le site principal www.monsite.com et le nombre des erreurs 404 a explosé
      un nombre énorme d'URLs de type :
      www.fr.monsite.com/fr/vols/index?f_type=01&f_departure=TLS&f_destination=DJE&f_date_from=08/09/2013&f_date_to=22/09/2013&f_flexibility=3&f_paxs_adults=2&f_paxs_childs=0&f_paxs_infants=0
      redirigent vers :
      www.monsite.com/fr/vols/index?f_type=01&f_departure=TLS&f_destination=DJE&f_date_from=08/09/2013&f_date_to=22/09/2013&f_flexibility=3&f_paxs_adults=2&f_paxs_childs=0&f_paxs_infants=0
       
      L'URL de destination est biensur introuvable 404, puisque les variables utilisés dans les deux sites ne sont pas identiques
      Voici la structure d'URL si on fait une recherche de vol sur le site principal :
      https://www.monsite.com/fr/resa?depart=SXF&arrivee=NBE&aller=2017-11-10&retour=2017-11-30&adultes=1&enfants=1&bebes=0&departureDateTime_D=&arrivalDateTime_D=&departureDateTime_R=&arrivalDateTime_R=&fareGroupName=&fareGroupName_R=&sens=2&currency=EUR&airline=&flightNumber=&flight=&flight_retour=&webview=0&felxibilite=2
       
       
      existe-il un moyen pour rediriger l'ensemble des URLs dynamiques du sous-domaines vers une URL statique du domaine principale (autre que l'accueil)?
       
       
    • By PieceMobile
      Bonjour,



      J'espère que vous allez tous bien.



      Auriez vous une solution pour rediriger ( via une règle htaccess par exemple ) :



      http://www.mon-site.com/blabla.html?ps_mobile_site=1



      vers : http://www.mon-site.com/blabla.html



      A mon avis, s'agissant d'un paramètre d'URL, de ce que j'ai cru comprendre -a mon petit niveau- c’était pas possible, mais ça me dépannerai pas mal si l'un d'entre vous avait une idée.



      Merci d'avance





    • By aurelien59
      Bonjour, Je me permet de poster ce problème sur ce forum en plus de l'avoir posté sur un autre. Le problème survient sur un site codé en dur. Depuis plusieurs mois après la mise en place de redirection, je rencontre un problème. La redirection a été mise en place pour rediriger simplement les pages ayant un underscore vers un tiret. Par exemple page_1.php vers page-1.php Dans Google webmasters tools, zone "Exploration", > Erreurs d'exploration > le nombre des URL non suivies à augmenter de manière considérable sur ordinateurs et smartphone.

      Voici un exemple de page contenant l'erreur : page-1.php/page-a.php (alors que la page correcte est page-1.php, la page page-a.php est présente sur le site en racine). Lorsque je clic sur l'url d'erreur, dans l'onglet "Référencée sur". Les url qui apparaissent sont : http://www.monsite.fr/page-2.php/page-b.php'>>http://www.monsite.fr/page-2.php/page-b.php et http://www.monsite.fr/page-2.php/page-c.php'>>http://www.monsite.fr/page-2.php/page-c.php (non indexés sur Google). Voici l'extrait du .htaccess ErrorDocument 404 http://www.monsite.fr/404.phpRewriteEngine onRewriteCond %{HTTP_HOST} ^monsite.fr$RewriteRule ^(.*) http://www.monsite.fr/$1 [QSA,L,R=301]RewriteRule ^([^_]*)_([^_]*)$ /$1-$2 [L,R=301]RewriteRule ^(.*)\.php/$ http://www.monsite.fr/$1.php[L,R=301]RewriteRule ^(.*)\.php/(.*)\.php$ http://www.monsite.fr/$1.php[R=301]RewriteCond %{REQUEST_FILENAME} -s [OR]RewriteCond %{REQUEST_FILENAME} -l [OR]RewriteCond %{REQUEST_FILENAME} -dRewriteRule ^.*$ - [NC,L]RewriteRule ^.*$ /404.php [NC,L] Merci beaucoup pour votre aide.
×
×
  • Create New...