ixialis Posté(e) le 27 avril 2008 Partager Posté(e) le 27 avril 2008 Bonsoir à toutes et tous, J'ai décidé de creer mon propre serveur a la maison afin d'y heberger mon site web. Mais voila, j'ai déja eu quelques fois le coups de la page modifier par un hacker avec des "0wn3d by Xx" et autres messages inutiles a la place de la page initiale. Je suis déja ce forum depuis quelques temps et j'aimerais savoir si vous ne connaissiez pas des sites afin d'en apprendre plus sur comment se défendre a d'eventuels hackers sachant que je ne suis pas une pointe en informatique. Car j'ai vraiment envie d'essayer tout cela mais savoir qu'un hacker peut venir comme il le souhaite sur ma machine et modifier ce qu'il veut m'angoisse terriblement. Je vous remercie d'avance et vous souhaite un très bonne soirée Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 27 avril 2008 Partager Posté(e) le 27 avril 2008 Mettre à jour les scripts utilisés sur un site serait un bon départ Quels composants utilisez-vous ? En quel langage ? Sur quel OS ? Quel serveur Web ? Car il ne faut pas oublier qu'hébergeur ne s'improvise pas attention ! C'est même périlleux Lien vers le commentaire Partager sur d’autres sites More sharing options...
ixialis Posté(e) le 27 avril 2008 Auteur Partager Posté(e) le 27 avril 2008 Je pense que je vais utilisé un ordinateur que je viens de récupéré gratuitement par un ami, sous linux surement ubuntu ! Mon site sera en PHP et j'utiliserais donc une base de donnée SQL. Comment se défendre contre les hacker? car sur mon ancien hebergeur j'ai déja eu un individu malveillant qui a modifier quelques unes de mes pages pour mettre des choses sans interets comme des phrases telles que "0wned" ou encore "r00t" et autres... J'ai pu me renseigner sur un autre forum ils m'ont dit de t'attaquer mon site, que c'était le meilleur moyen de le sécurisé. N'étant pas une pointe en informatique je me demande que faire. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 28 avril 2008 Partager Posté(e) le 28 avril 2008 Et ce script en PHP, il est fait maison ou "tout prêt" ? Car s'il est tout prêt, il suffit d'être un peu à l'affut sur le forum officiel etc... pour toute mise à jour ou patch de sécurité qui sort, à appliquer dans les 24/48h maximum Si c'est du fait maison, il faut débuguer pas mal pour savoir quelle faille a été exploitée... et éplucher les logs Lien vers le commentaire Partager sur d’autres sites More sharing options...
ixialis Posté(e) le 28 avril 2008 Auteur Partager Posté(e) le 28 avril 2008 Tout maison Comment detecter les failles de mon site? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 28 avril 2008 Partager Posté(e) le 28 avril 2008 En tentant justement d'utiliser le site de manière non normale, par exemple : - Rajouter plein d'arguments dans l'url (si jamais il y a des choses du type script.php?var=xx) - Harceler le serveur web pour voir s'il tombe - Faire lire le code source à un ami pour trouver d'éventuelles failles En parallèle, augmenter le niveau des logs, les éplucher finement pour tomber sur la requête effectuée par le pirate pour tout casser Et en dernière possibilité, si votre code n'est pas top secret (il faut bien sûr cacher dedans les login, mots de passe, chemins, etc...) vous pouvez l'afficher ici et peut-être que quelqu'un pourra vous aider à corriger des failles Lien vers le commentaire Partager sur d’autres sites More sharing options...
Eagle1 Posté(e) le 28 avril 2008 Partager Posté(e) le 28 avril 2008 tu as une bonne connexion j'espère ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mephisto Posté(e) le 28 avril 2008 Partager Posté(e) le 28 avril 2008 la seule facon de voire par ou ils sont passes, c'est de blinder ton serveur de log pour reprendre ce que dit amour, n'utilise pas trop les get (j'ai pas dit pour autant que POST etait secure), verifie que tes includes (d'ailleurs, require_once, c'est mieux) font toujours reference a des fichiers locaux, verifie chaque requette sql avant de l'executer, ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 28 avril 2008 Partager Posté(e) le 28 avril 2008 Il y a des paquets qui justement aident à détecter/corriger/prévenir/tester les failles les plus courantes. par exemple : tiger nessus bastille ... Pour ce qui est fait maison, se documenter sur la sécurité d'apache, de php et mysql (surtout sur les trucs genre appels système, injection sql, etc.) Et bien sûr il faut avoir une distrib à jour. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ixialis Posté(e) le 28 avril 2008 Auteur Partager Posté(e) le 28 avril 2008 Merci beaucoups pour vos réponses je pars à la recherche de toutes ces docs pour partir ce de bonnes bases :) Qu'est ce que cela signifie : "c'est de blinder ton serveur de log" ? Merci encore pour vos réponses vous m'avez donné de très bonnes pistes de recherche ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 29 avril 2008 Partager Posté(e) le 29 avril 2008 Qu'est ce que cela signifie : "c'est de blinder ton serveur de log" ? Rendre les journaux très bavards Par exemple pour Apache, ce serait le ErrorLog sur "warn" voire "debug" et le CustomLog bien fourni Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mephisto Posté(e) le 29 avril 2008 Partager Posté(e) le 29 avril 2008 voila tu peux recuperer toutes les requetes sql qui ont ete faites, ce que les formulaires ont echanges, les sessions, ... tout ce qu'il te faudra pour comprendre ce qu'a fait un visiteur sur ton site, et eventuellement, qu'est-ce qu'il a pu faire pour prendre la main dessus bonne chance Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 29 avril 2008 Partager Posté(e) le 29 avril 2008 Ce n'est pas forcément une bonne idée de rendre ses applis excessivement verbeuses, notamment apache. Ça rend la lecture plus difficile. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 29 avril 2008 Partager Posté(e) le 29 avril 2008 Bon d'accord pas de mode debug, c'est abusé je sais ^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
ixialis Posté(e) le 29 avril 2008 Auteur Partager Posté(e) le 29 avril 2008 voilatu peux recuperer toutes les requetes sql qui ont ete faites, ce que les formulaires ont echanges, les sessions, ... tout ce qu'il te faudra pour comprendre ce qu'a fait un visiteur sur ton site, et eventuellement, qu'est-ce qu'il a pu faire pour prendre la main dessus bonne chance C'est a dire? Il est possible de developper ceci en PhP? Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 29 avril 2008 Partager Posté(e) le 29 avril 2008 Développer ceci ? En tout cas, tout ce dont parlait Mephisto est faisable en php Lien vers le commentaire Partager sur d’autres sites More sharing options...
ixialis Posté(e) le 30 avril 2008 Auteur Partager Posté(e) le 30 avril 2008 Auriez vous une idée de comment tu peux recuperer toutes les requetes sql qui ont ete faites, ce que les formulaires ont echanges, les sessions J'apprends toujours le PhP et mes recherche ne sont pas très fructueuses... Lien vers le commentaire Partager sur d’autres sites More sharing options...
theocrite Posté(e) le 30 avril 2008 Partager Posté(e) le 30 avril 2008 Pour mysql : http://fr.php.net/manual/fr/book.mysql.php Pour les sessions : http://fr.php.net/manual/fr/book.session.php Pour les formulaires, il faut voir du côté de $_GET et $_POST. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.