[RESOLU] Help ! Site hacké

[Alastor]

Bonjour à tous,

je fais appel à vos lumières en urgence : mon site Web a été piraté hier (injection sql à priori), j'ai fait le ménage dans les bases et je pensais avoir corrigé la faille, mais ce matin rebelote, le fameux hacker refait parler de lui.

Je sais pas trop ou chercher et je manque un peu de temps, donc si un connaisseur pouvait m'aider, je lui en serais éternellement reconnaissant.

Merci d'avance !

[Amour]

En épluchant les logs, vous ne voyez pas sur quelle page il y a des requêtes étranges ?

[Alastor]

Je ne sais pas je n'ai pas encore eu le temps de regarder, ils se trouvent ou ces logs ?

[Amour]

Votre hébergement dédié ou mutualisé a-t-il des logs du serveur web, par exemple pour voir tous les accès, erreurs, etc... ?

[Alastor]

Je suis sur un dédié et mon serveur Web tourne sous Wamp Server.

Je pense qu'il y'a en effet des logs d'accès mais je ne sais pas du tout où ils se trouvent :(

[Amour]

Si vous avez votre propre dédié et que vous ne savez même pas où se trouvent les logs... sincèrement c'est dangereux là.

En prenant un dédié, il faut bien gérer son serveur et faire très attention à ce que l'on fait, tout mettre à jour et prévenir la plupart des problèmes

Vos logs sont sûrement dans le dossier de Apache, dans le sous-dossier logs, avec différents fichiers comme access.log et error.log

[Alastor]

Merci je vais regarder de ce côté la :)

[Alastor]

Bon déjà, je n'avais pas fait attention mais les magic quotes étaient désactivés => réactivé.

J'ai rien trouvé de spécial dans les logs Apache.

Question : un htmlentities sur une variable suffit-il pour empêcher l'injection sql ?

[Shtong]

1 - Quels sont les symptomes du piratage ? S'agit-t-il uniquement de modifications de données, de modification de fichiers du site, dans les deux cas de quel ordre ?

2 - Quels sont les systèmes utilisés sur le site (Spip, Wordpress ?) et leurs versions ?

Sinon pour les logs tout dépends comment tu as configuré des virtual hosts, il me semble que par défaut c'est dans C:\wamp\www\logs\

[EDIT] ah ben du coup...

Question : un htmlentities sur une variable suffit-il pour empêcher l'injection sql ?

Elle peut à condition d'être appliquée aux bonne variables (toutes celles qui vont participer à une requête)

J'ai rien trouvé de spécial dans les logs Apache.

Ce que tu peux y trouver c'est surtout des traces de l'ordinateur qui a envoyé les requêtes d'injection si injection il y a (dans access.log), pour ensuite bloquer son IP par exemple.

[Alastor]

Bonjour Shtong,

pour les symptômes : ce n'est pour le moment que de l'insertion et de la modification de données (création de comptes avec droits admin puis modification des actus en page d'accueil via ces comptes).

Pour l'adresse IP je suis ok, mais il semble que ce soit une IP non fixe, donc difficile de lui bloquer l'accès.

Pour le moment, voila ce que j'ai fait :

- activation des magic quotes dans la configuration de Wamp

- ajout de la fonction htmlentities sur la plupart des variables dans mes différents formulaires

- suppression des droits "structure" pour le compte utilisé pour requêter sur la base (pour éviter les droits du style "DROP" ou "GRANT")

Qu'est-ce que je peux faire d'autre pour sécuriser un minimum ?

[Amour]

Attention magic_quotes est recommandé à être désactivé... il vaut mieux sécuriser ses scripts par soi-même

Pour la base de données : il faut donner uniquement les droits sur la base concernée, surtout pas le moindre droit d'administration...

[Shtong]

Le minimum à faire à mon avis ça serait :

- Changer les mots de passe de tous les comptes qui peuvent créer de nouveaux utilisateurs

- Changer les mots de passe des comptes MySQL et Windows

- Regarder dans les logs d'audit Windows s'il y a des traces de connection qui ne soient pas les tiennes

- Pour l'utilisateur MySql du site autoriser uniquement SELECT, UPDATE, INSERT, DELETE

- En cas d'utilisation de Wifi, s'acheter une paire de clés et passer le site en HTTPS (cher mais malheureusement parfois indispensable)

- S'acheter un audit de sécurité

[BarthVonRies]

J'ai pas mass de temps en ce moment, mais je suis en plein dans la problématique sécu pour mon taf.

Si tu veux, envoies-moi un MP pour discuter un peu plus avant pour que je checke ton code.

[Alastor]

Bonjour à tous,

bon visiblement après les dernières actions que j'ai pu faire, aucune nouvelle du hacker depuis la remise en ligne de mon site.

Je passe donc le sujet en résolu, merci à tous pour votre aide :)