Problème de sécurité

21 déc. 2012, 18:44

Bonjour,
j'ai un problème et j'espère qm'eclairer Svp,c'est que ce matin quand j'ai entré à mon site,j'ai trouvé que le nombre de visiteurs été intialisé à 0,ainsi quand j'ai connecté au site via filezilla,j'ai trouvé que les fichiers compteur,last login et bien error_log ont été modifiés.
celà signifie que surement quelqu'un a accédé à compte du site?si oui quel précautions faut faire pour éviter ce qu'il peut faire ?
je vous copie ici un petit moreau de ce qui est ajouté dans le fichier error_log et merci d'avance pour votre aide.

[21-Dec-2012 09:36:57] PHP Warning: session_start() [<a href='function.session-start'>function.session-start</a>]: Cannot send session cookie - headers already sent by (output started at /home/site/public_html/conx.php:11) in /home/site/public_html/verif_admin.php on line 10
[21-Dec-2012 09:37:50] PHP Warning: session_start() [<a href='function.session-start'>function.session-start</a>]: Cannot send session cache limiter - headers already sent (output started at /home/site/public_html/conx.php:11) in /home/site/public_html/verif_admin.php on line 10
[21-Dec-2012 09:39:00] PHP Warning: mysql_query() [<a href='function.mysql-query'>function.mysql-query</a>]: Access denied for user 'site'@'localhost' (using password: NO) in /home/site/public_html/p_dr.php on line 10
[21-Dec-2012 09:39:00] PHP Warning: mysql_query() [<a href='function.mysql-query'>function.mysql-query</a>]: A link to the server could not be established in /home/site/public_html/p_dr.php on line 10
[21-Dec-2012 09:39:00] PHP Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/site/public_html/p_dr.php on line 12
[21-Dec-2012 09:43:07] PHP Warning: mysql_connect() [<a href='function.mysql-connect'>function.mysql-connect</a>]: Access denied for user 'site'@'localhost' (using password: YES) in /home/site/public_html/forum/csforum.conf.php on line 42

22 déc. 2012, 10:22

qu'y a t il dans p_dr.php ?

22 déc. 2012, 11:32

qu'y a t il dans p_dr.php ?

oui merci ,le fichier p_dr.php contient ce code :

<div class="left_box3">
<div class="sidebox1">
<h3>Partenaires</h3>

<div id="login2">
<marquee behavior="scroll" direction="up" scrollamount="1" scrolldelay="1" onmouseover="this.stop()" onmouseout="this.start()" style="height:210px;width:100%;border:solid #B4C1D3 1px;background:#D7DDE6;padding:0px;" height="50" width="100%">
<b style="font-size:12px">
<div align="center">
	  <?php
	$requete=mysql_query("select * from partenaire");
	$i=0;
	while ($ligne=mysql_fetch_array($requete)){
		$i++ ;
	?>
	  <br />
	  <a href="<?php echo $ligne['lien']; ?>" target="_blank">
	    <img src="admin/up_img/<?php echo $ligne['photo']; ?>" width="75" alt="<?php echo $ligne['desc']; ?>" border="0"/>
	    </a>
	  <br /><br />
	  <?php
	}
	?>            
    </div>
</marquee>
</div></div>
<div class="sidebox">
<h3>Espace publicitaire</h3>

                    	<div id="login">
</div>
</div>


<div class="sidebox">
<h3>Statistiques</h3>
<div id="login">
<br /><br />
Connectés    <?php
include("vconnecte.php");
?><br /><br />
Nb Visiteurs <?php
include("nvisit.php");
?>
</div>
</div>
</div>

23 déc. 2012, 18:59

Dans verif_admin.php à la ligne 10 tu dois avoir session_start(); est ce vrai ?

24 déc. 2012, 18:13

Dans verif_admin.php à la ligne 10 tu dois avoir session_start(); est ce vrai ?

oui exactement,et voici le code de cette page:

<?php
//$_SESSION['con']=0;
if(isset($_POST['login']) and isset($_POST['pass']))
{
	include('conx.php');
	
		if(($_POST['login']=='***') and ($_POST['pass']=='***'))
		{
		session_start(); // LIGNE 10
		//$_SESSION['con']=1;
		$_SESSION['login']=$_POST['login'];
		$_SESSION['pass']=$_POST['pass'];
			echo '<script language="javascript" type="text/javascript">
window.location.replace("indexadmin.php");
</script>';
		}
				//if($_SESSION['con']==0)
		else{
			echo "<script>alert('Login/password non valides');</script>";
			echo '<script language="javascript" type="text/javascript">
window.location.replace("index.php");
</script>';
		}
}
?>

Pour le fichier error_log c'est normal de trouvez chaque jours de nouveaux lignes dedans ?

25 déc. 2012, 22:21

Pour le fichier log, non normallement..

Déplace session_start(); tout en haut juste après <?php.
Peux tu vérifier l'encodage de ton fichier. est-il en utf-8 sans BOM, utf-8 ou ISO-XXX

26 déc. 2012, 16:36

Pour le fichier log, non normallement..

Déplace session_start(); tout en haut juste après <?php.
Peux tu vérifier l'encodage de ton fichier. est-il en utf-8 sans BOM, utf-8 ou ISO-XXX

la code de session vient après une condition donc je peux pas le déplaçer tout en haut

Pour l'encodage c'est utf-8 sans BOM!
en faite j'ai trouvé que le fichier htacces peut beaucoup me servir en question de sécurité,mais j'ai aps réussi à le faire fonctionné !

26 déc. 2012, 17:24

session_start(); peut être mis n'importe où dans le script.
pour les htaccess tu as raison

26 déc. 2012, 17:28

Si tu peut me citer quelques liens de méthode et doc utiles pour que je peux sécurisé mon site,parceque jusqu'à maintenant je trouve chaque jours que le fichier log_error a des nouveaux lignes/erreurs ,la chose que j'ai pas compris pourquoi j'ai ces lignes ou c'est quoi d'abord:?
merci d'avance

26 déc. 2012, 17:54

Un truc simple : si tu veux que les fichiers soient protégés de l'extérieur (hormis par FTP ou via des includes ou requires), tu peux créer un fichier appellé ".htaccess". Ce fichier est à créer via un logiciel compatible (comme note pad++) car windows ne pourra pas le créer. Il doit obligatoirement s’appeler .htaccess (avec le point devant)
Dans ce fichier tu écris : "deny from all" (sans les guillemets) et tu le mets en FTP dans le dossier à protéger.
Rappel : les fichiers et dossiers ne pourront plus être vu depuis l'extérieur mais pourront être inclus via le serveur PHP ou lisible par FTP.

Problème de sécurité

Qui est en ligne