Aller au contenu

[RESOLU] Help ! Site hacké

Featured Replies

Posté(e)

Bonjour à tous,

je fais appel à vos lumières en urgence : mon site Web a été piraté hier (injection sql à priori), j'ai fait le ménage dans les bases et je pensais avoir corrigé la faille, mais ce matin rebelote, le fameux hacker refait parler de lui.

Je sais pas trop ou chercher et je manque un peu de temps, donc si un connaisseur pouvait m'aider, je lui en serais éternellement reconnaissant.

Merci d'avance !

Posté(e)
  • Auteur

Je ne sais pas je n'ai pas encore eu le temps de regarder, ils se trouvent ou ces logs ?

Posté(e)

Votre hébergement dédié ou mutualisé a-t-il des logs du serveur web, par exemple pour voir tous les accès, erreurs, etc... ?

Posté(e)
  • Auteur

Je suis sur un dédié et mon serveur Web tourne sous Wamp Server.

Je pense qu'il y'a en effet des logs d'accès mais je ne sais pas du tout où ils se trouvent :(

Posté(e)

Si vous avez votre propre dédié et que vous ne savez même pas où se trouvent les logs... sincèrement c'est dangereux là.

En prenant un dédié, il faut bien gérer son serveur et faire très attention à ce que l'on fait, tout mettre à jour et prévenir la plupart des problèmes ;)

Vos logs sont sûrement dans le dossier de Apache, dans le sous-dossier logs, avec différents fichiers comme access.log et error.log

Posté(e)
  • Auteur

Bon déjà, je n'avais pas fait attention mais les magic quotes étaient désactivés => réactivé.

J'ai rien trouvé de spécial dans les logs Apache.

Question : un htmlentities sur une variable suffit-il pour empêcher l'injection sql ?

Posté(e)

1 - Quels sont les symptomes du piratage ? S'agit-t-il uniquement de modifications de données, de modification de fichiers du site, dans les deux cas de quel ordre ?

2 - Quels sont les systèmes utilisés sur le site (Spip, Wordpress ?) et leurs versions ?

Sinon pour les logs tout dépends comment tu as configuré des virtual hosts, il me semble que par défaut c'est dans C:\wamp\www\logs\

[EDIT] ah ben du coup...

Question : un htmlentities sur une variable suffit-il pour empêcher l'injection sql ?

Elle peut à condition d'être appliquée aux bonne variables (toutes celles qui vont participer à une requête)

J'ai rien trouvé de spécial dans les logs Apache.

Ce que tu peux y trouver c'est surtout des traces de l'ordinateur qui a envoyé les requêtes d'injection si injection il y a (dans access.log), pour ensuite bloquer son IP par exemple.

Posté(e)
  • Auteur

Bonjour Shtong,

pour les symptômes : ce n'est pour le moment que de l'insertion et de la modification de données (création de comptes avec droits admin puis modification des actus en page d'accueil via ces comptes).

Pour l'adresse IP je suis ok, mais il semble que ce soit une IP non fixe, donc difficile de lui bloquer l'accès.

Pour le moment, voila ce que j'ai fait :

- activation des magic quotes dans la configuration de Wamp

- ajout de la fonction htmlentities sur la plupart des variables dans mes différents formulaires

- suppression des droits "structure" pour le compte utilisé pour requêter sur la base (pour éviter les droits du style "DROP" ou "GRANT")

Qu'est-ce que je peux faire d'autre pour sécuriser un minimum ?

Posté(e)

Le minimum à faire à mon avis ça serait :

- Changer les mots de passe de tous les comptes qui peuvent créer de nouveaux utilisateurs

- Changer les mots de passe des comptes MySQL et Windows

- Regarder dans les logs d'audit Windows s'il y a des traces de connection qui ne soient pas les tiennes

- Pour l'utilisateur MySql du site autoriser uniquement SELECT, UPDATE, INSERT, DELETE

- En cas d'utilisation de Wifi, s'acheter une paire de clés et passer le site en HTTPS (cher mais malheureusement parfois indispensable)

- S'acheter un audit de sécurité :transpi:

Posté(e)

J'ai pas mass de temps en ce moment, mais je suis en plein dans la problématique sécu pour mon taf.

Si tu veux, envoies-moi un MP pour discuter un peu plus avant pour que je checke ton code.

Posté(e)
  • Auteur

Bonjour à tous,

bon visiblement après les dernières actions que j'ai pu faire, aucune nouvelle du hacker depuis la remise en ligne de mon site.

Je passe donc le sujet en résolu, merci à tous pour votre aide :)

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.