Aller au contenu

Intrusion malgré .htaccess


Sujets conseillés

Bonjour,

Je viens vous demander de l'aide car, peut-être, vous pourriez m'aider. Je suis en effet totalement perdu!

Voila les faits:

J'ai un site que je réalise pour mon frère mais je ne suis nullement un webmaster juste un bricoleur et il y a donc beaucoup de choses qui m'échappent!!

Il s'agit de http://www.apim-authentique.fr.Il comporte deux parties: anglais et français.

J'ai adapté, tant bien que mal, un programme libre: Open Realty.Chacune de ces parties comporte une section administration accessible par un utilisateur doté d'un mot de passe.J'ai commencé par travailler sur la version française du site adaptant au fur et à mesure la version anglaise. j'ai donc changé le mot de passe le l'administration française mais laissé d'origine le mot de passe de l'admin anglaise qui était "password". Là un plaisantin s'amusait à créer des membres (dans la version anglaise bien sur), ce qui est autorisé dans ce script. Lorsque je m'en suis aperçu (le travail sur le site a été interrompu quelques mois pour cause de maladie) j'ai bien entendu immédiatement changé le mot de passe.Rien n'y a fait il continuait impertubablement à créer des membres. J'ai donc ajouté un fichier .htaccess dans le dossier admin avec un mot de passe stocké dans un autre dossier qui lui même avait un .htaccess interdisant ce dossier à quiconque et même à moi.Aucun problème pour mon plaisantin qui me narguait en créant ce jour là plusieurs membres. Hier, dimanche 6 septembre, n'en pouvant plus j'ai, par un autre fichier .htaccess, interdit à tous les dossiers admin anglais et français.

J'étais persuadé que par ce moyen il ne pourrait plus m'ennuyer et voilà que ce matin je vois qu'il est encore venu et qu'il m'a encore crée un membre.

Mais comment fait-il? Par où passe-t-il? Peut-être avez vous une idée?

Merci de bien vouloir m'aider.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et bienvenue sur le Hub :)

D'abord un conseil Un mot de passe doit être compliqué. Des lettres+des chiffres qui n'ont aucun sens ! C'est sur que "password" n'était pas judicieux.

Sinon, tu parles de fichier .htaccess... As tu bien paramétré ? Je lis sur la publi du Hub : Le fichier .htaccess

Ne stockez donc pas sur votre serveur Web d’informations dont la divulgation pourrait vous pénaliser.

As-tu stocké ton nouveau mdp sur ton serveur ?

L’usage veut que ce fichier soit souvent nommé .htpasswd, mais ce n’est pas du tout une obligation. Il est même conseillé d’utiliser un autre nom, le fichier sera d’autant plus difficile à trouver. Ne le mettez pas dans un répertoire qui fait partie du site mais placez-le plutôt en dehors de cette arborescence si vous en avez le choix.

As-tu nommé ton fichier .htpasswd ?

Malheureusement quand un plaisantin arrive sur ton serveur ou ton site c'est qu'il n'est pas si débutant que cela. Donc, il connait toutes les faiblesses et toutes les parades qu'un débutant peut mettre en place. Donc il va tout essayer pour continuer son oeuvre.

Soit tranquille, des professionnels vont venir t'aider. Ma participation se limitera à cela, car à par lire des articles je ne suis pas une pro ! :P Mais si Dan le dit dans son article c'est qu'il doit y avoir de bonnes raisons.

Lien vers le commentaire
Partager sur d’autres sites

Alors, plusieurs pistes:

1. Vérifier que le CMS que tu utilises (open realty) est bien a la dernière version, et qu'il n'y a pas dans cette version-là d'exploit connu non bloqué.

2. Regarder dans tes logs pour voir par où il est passé. Si ton admin est si bien vérouillée que ça (as-tu testé?), il est probable qu'il utilise un autre chemin (d'où le point ci-dessus). Trouver, bloquer.

Je suppose qu'il ne se contente pas de créer des utliisateurs pour le fun, ça doit être du spam, non?

Jacques.

Lien vers le commentaire
Partager sur d’autres sites

Si tu as tous tes scripts sur un serveur local, supprime ceux du serveur de prod (en les sauvegardant auparavant pour trouver la provenance de la faille) et uploade tes scripts sur le serveur. Avec la modification des htaccess ainsi que des codes d'accès ftp, ça devrait être bon

Lien vers le commentaire
Partager sur d’autres sites

Rien ne dit que la faille est au niveau de l'accès web. .htaccess ne protège que les accès via le web, mais si l'intru a tes identifiants FTP, .htaccess ne le bloque pas. Il est donc indispensable de changer tous tes identifiants d'accès au site (interface d'administration de l'hébergement, admin du CMS, FTP, SSH, ...).

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines plus tard...

Bonjour à tous,

Je suis vraiment désolé de n'avoir pas pu répondre plus tôt mais j'ai eu un problème de sante. Je me suis mangé la grippe h1n1.

En tout cas merci d'avoir bien voulu vous pencher sur mon problème qui est maintenant résolu.

J'ai tout détruit et tout reconstruit dans la foulée en ayant, bien entendu, le soin de changer mes mots de passe.

Un grand merci àtous.

Vous êtes formidables.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines plus tard...

Bonjour :)

A titre d'information, les htaccess ne protège en rien contre les attaques du genre injection mysql ou html car cela exploite une faille soit du forum soit d'un hack installé sur celui-ci, pour accéder directement à la base de donné, donc, aucun accès ftp.

Autre chose, quand vous crée un htaccess, supprimer les balises <Limit GET POST> et </Limit>, il y a une faille.

Voir cet article: http://www.emiliengirault.fr/securite-informatique/contourner-htaccess-limit-get-post/

Lien vers le commentaire
Partager sur d’autres sites

La sécurité ça se traite à plusieurs niveaux (tous, de préférence).

Comme cela a été souligné, il faut vérifier que tous les composants sont à jour : os, serveur, php, db et cms.

Les exploits sont aisément disponibles et la plupart des attaques utilisent des procédés publiés, en profitant de la paresse de mise à jour des webmaster et hébergeurs.

Le mot de passe évidemment.

Les login: un minimum d'"ingénierie sociale" permet de trouver les login de beaucoup de sites (au hasard le prénom du webmaster); c'est déjà la moitié du boulot.

Le paramétrage : le mode "debug" est bien utile en dev, mais il révèle des informations potentiellement intéressantes pour les petits malins en production.

PHP ou autre, ça se configure: il est souvent possible d'ajuster la taille des fichiers uploadés, le temps max d'execution etc. Unpetit script comme phpsecinfo permet de s'assurer de la sécurité de sa config.

Le choix du cms: c'est un point crucial; un typolight qui se bloque pendant 5 minutes au bout de trois tentatives de connexion ratées, ça limite fortement la brute force.

En consultant la fréquence de mise à jour, et les alertes sécu on a déjà une bonne idée de sa qualité sécuritaire.

Htaccess : pour limiter les accès, voire mettre des filtres à l'ip (pour l'admin)

Les nom de dossier ou url : on essaie d'éviter admin et compagnie

"Google yourself" : vérifier que google n'indexe pas des trucs qu'on a pas envie de divulguer(comme tes pages d'erreurs).Au besoin on les désindexe avec gwt.

Un petit coup de scanner de vulnérabilités, style wikto ou acunetix.

La vraie vie : le post-it avec mdp sur le moniteur ça rend bien service...

Enfin, est c'est là le plus important, un hacker doué arrivera toujours à passer et défacer un site.

Il faut être capable de tout effacer (y compris la db) et de tout remettre en ligne en moins d'une heure. Pas bien compliqué, mais ça demande un peu d'organisation et des sauvegardes régulières(automatisables).

Bon courage

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...