Sécurité informatique

[ixialis]

Bonsoir à toutes et tous,

J'ai décidé de creer mon propre serveur a la maison afin d'y heberger mon site web. Mais voila, j'ai déja eu quelques fois le coups de la page modifier par un hacker avec des "0wn3d by Xx" et autres messages inutiles a la place de la page initiale.

Je suis déja ce forum depuis quelques temps et j'aimerais savoir si vous ne connaissiez pas des sites afin d'en apprendre plus sur comment se défendre a d'eventuels hackers sachant que je ne suis pas une pointe en informatique.

Car j'ai vraiment envie d'essayer tout cela mais savoir qu'un hacker peut venir comme il le souhaite sur ma machine et modifier ce qu'il veut m'angoisse terriblement.

Je vous remercie d'avance et vous souhaite un très bonne soirée

[Amour]

Mettre à jour les scripts utilisés sur un site serait un bon départ

Quels composants utilisez-vous ? En quel langage ? Sur quel OS ? Quel serveur Web ?

Car il ne faut pas oublier qu'hébergeur ne s'improvise pas attention ! C'est même périlleux

[ixialis]

Je pense que je vais utilisé un ordinateur que je viens de récupéré gratuitement par un ami, sous linux surement ubuntu !

Mon site sera en PHP et j'utiliserais donc une base de donnée SQL.

Comment se défendre contre les hacker? car sur mon ancien hebergeur j'ai déja eu un individu malveillant qui a modifier quelques unes de mes pages pour mettre des choses sans interets comme des phrases telles que "0wned" ou encore "r00t" et autres...

J'ai pu me renseigner sur un autre forum ils m'ont dit de t'attaquer mon site, que c'était le meilleur moyen de le sécurisé.

N'étant pas une pointe en informatique je me demande que faire.

[Amour]

Et ce script en PHP, il est fait maison ou "tout prêt" ?

Car s'il est tout prêt, il suffit d'être un peu à l'affut sur le forum officiel etc... pour toute mise à jour ou patch de sécurité qui sort, à appliquer dans les 24/48h maximum

Si c'est du fait maison, il faut débuguer pas mal pour savoir quelle faille a été exploitée... et éplucher les logs

[ixialis]

Tout maison

Comment detecter les failles de mon site?

[Amour]

En tentant justement d'utiliser le site de manière non normale, par exemple :

- Rajouter plein d'arguments dans l'url (si jamais il y a des choses du type script.php?var=xx)

- Harceler le serveur web pour voir s'il tombe

- Faire lire le code source à un ami pour trouver d'éventuelles failles

En parallèle, augmenter le niveau des logs, les éplucher finement pour tomber sur la requête effectuée par le pirate pour tout casser

Et en dernière possibilité, si votre code n'est pas top secret (il faut bien sûr cacher dedans les login, mots de passe, chemins, etc...) vous pouvez l'afficher ici et peut-être que quelqu'un pourra vous aider à corriger des failles

[Eagle1]

tu as une bonne connexion j'espère ?

[Mephisto]

la seule facon de voire par ou ils sont passes, c'est de blinder ton serveur de log

pour reprendre ce que dit amour, n'utilise pas trop les get (j'ai pas dit pour autant que POST etait secure), verifie que tes includes (d'ailleurs, require_once, c'est mieux) font toujours reference a des fichiers locaux, verifie chaque requette sql avant de l'executer, ...

[theocrite]

Il y a des paquets qui justement aident à détecter/corriger/prévenir/tester les failles les plus courantes.

par exemple :

tiger

nessus

bastille

...

Pour ce qui est fait maison, se documenter sur la sécurité d'apache, de php et mysql (surtout sur les trucs genre appels système, injection sql, etc.)

Et bien sûr il faut avoir une distrib à jour.

[ixialis]

Merci beaucoups pour vos réponses je pars à la recherche de toutes ces docs pour partir ce de bonnes bases :)

Qu'est ce que cela signifie : "c'est de blinder ton serveur de log" ?

Merci encore pour vos réponses vous m'avez donné de très bonnes pistes de recherche !

[Amour]

Qu'est ce que cela signifie : "c'est de blinder ton serveur de log" ?

Rendre les journaux très bavards

Par exemple pour Apache, ce serait le ErrorLog sur "warn" voire "debug" et le CustomLog bien fourni

[Mephisto]

voila

tu peux recuperer toutes les requetes sql qui ont ete faites, ce que les formulaires ont echanges, les sessions, ... tout ce qu'il te faudra pour comprendre ce qu'a fait un visiteur sur ton site, et eventuellement, qu'est-ce qu'il a pu faire pour prendre la main dessus

bonne chance

[theocrite]

Ce n'est pas forcément une bonne idée de rendre ses applis excessivement verbeuses, notamment apache. Ça rend la lecture plus difficile.

[Amour]

Bon d'accord pas de mode debug, c'est abusé je sais ^^

[ixialis]

voila

tu peux recuperer toutes les requetes sql qui ont ete faites, ce que les formulaires ont echanges, les sessions, ... tout ce qu'il te faudra pour comprendre ce qu'a fait un visiteur sur ton site, et eventuellement, qu'est-ce qu'il a pu faire pour prendre la main dessus

bonne chance

C'est a dire? Il est possible de developper ceci en PhP?

[theocrite]

Développer ceci ?

En tout cas, tout ce dont parlait Mephisto est faisable en php

[ixialis]

Auriez vous une idée de comment

tu peux recuperer toutes les requetes sql qui ont ete faites, ce que les formulaires ont echanges, les sessions

J'apprends toujours le PhP et mes recherche ne sont pas très fructueuses...

[theocrite]

Pour mysql :

http://fr.php.net/manual/fr/book.mysql.php

Pour les sessions :

http://fr.php.net/manual/fr/book.session.php

Pour les formulaires, il faut voir du côté de $_GET et $_POST.