En complément certaines attaques ont été stoppé par ce genre de conf (Stricte):
[u].htaccess (à la racine du site):[/u]
[code]RewriteEngine on
RewriteCond %{REQUEST_METHOD} !^(HEAD|GET|POST) [NC]
RewriteRule (.*) - [F,L][/code]

[i](Par exemple pour stopper certaines méthode HTTP fictives utilisées par certains bots....)[/i]

[u][b][EDIT][/b][/u]

[b]eval()[/b] ne peut être désactivé avec [i]disable_functions[/i] dans le [i]php.ini[/i]
[i](Comme on le voie souvent sur le net)[/i]

Il faut installer [b]suhosin[/b]:

[u]Ensuite ajouter dans le php.in:[/u]
[code]extension=suhosin.so
suhosin.executor.disable_eval = on[/code]

[url]http://www.hardened-php.net/suhosin/[/url]
[url]http://www.hardened-php.net/suhosin/configuration.html#suhosin.executor.disable_eval[/url]

Cela m'étonne beaucoup ce que tu racontes là :wink:

Quoi qu'il en soit, si cela est bien la raison, je te conseil de te poser une question qui me parait essentielle:

[quote]Comment a-t-il récupéré mon [i]login[/i] et mon [i]mot de passe[/i]?[/quote]

Mot de passe ultra-simple?
Oui possible mais pourquoi un [i]hackeur[/i] puéril s'embêterait a trouver le mdp de ton compte ftp?...
Car l'opération me semble vraiment loin d'être simple...
Qu'a ton site de si particulier?

Virus Troyen , keylogger...?
Oui, déjà plus probable, tombé par hazard sur ton login et mdp, il en a ensuite profité...

[u]Reste la raison habituelle:[/u]
Il a exploité simplement une faille sur ton site web.

la solution proposée dès le début de ce post semble être la bonne. J'ai modifié les mdp ftp et il n'y a plus d'intrusions.

Re,
[quote="cmoi"]
[quote="FuZZyLine"]
Re,
Je vais tenter de faire plus clair:

J'ai été sur ton site et ai remarqué que ton script [i][*]html[/i] est plus qu'invalide puisqu'il est faux.
Des tags inconnus sont présents. Des balises s'ouvrent et se ferment mais le nom du tag diffère...
Désolé, dans le premier post j'ai tenté d'y aller léger mais je vois mal comment, en étant plus clair,
continuer à l'être.[/quote]

[*]A priori tu as récupéré le code source à partir d'une page en ligne. Comment peux-tu en conclure que le code est faux puisque le code php n'y apparaît pas ?[/quote]

@+ ;)

EDIT: @zeus: No offense, j'ai juste fait un paquet global. Une erreur en entraine une autre et dans...
bref, faclie de présumer que diverses autres erreurs sont présentes. Erreurs qui peuveut créer une portre
"dérobée"...

Bon, @+ ;)

Bon, un problème à la fois s'il vous plait. :non:

On parle d'attaque de site, je doute donc que la validité du code HTML puisse aider le soucis de base.

[quote="FuZZyLine"]Re,
Je vais tenter de faire plus clair:

J'ai été sur ton site et ai remarqué que ton script html est plus qu'invalide puisqu'il est faux.
Des tags inconnus sont présents. Des balises s'ouvrent et se ferment mais le nom du tag diffère...
Désolé, dans le premier post j'ai tenté d'y aller léger mais je vois mal comment, en étant plus clair,
continuer à l'être.[/quote]

A priori tu as récupéré le code source à partir d'une page en ligne. Comment peux-tu en conclure que le code est faux puisque le code php n'y apparaît pas ?

[u]Petite précision:[/u]
Il faut vérifier et filtrer toutes les données entrantes donc: les [b]$_POST[/b], [b]$_GET[/b] et ensuite les requêtes [b]SQL[/b].
[u]Et sécuriser tes scripts de manière général:[/u]
[u]Exemples:[/u]
- Parfois un simple [b]exit()[/b] bien placé -> cela change tout aussi...
- l'utilisation d'un simple [b]elseif[/b] à la place d'un autre [b]if[/b].
- L'oublie d'assigner des valeurs par défaut.
- ajouter un simple [b]else[/b]
- utiliser un [b]switch[/b] pour assigner la valeur d'une variable entrante (quand c'est possible)
...

[u]Ce qui veux dire:[/u]
Ne focalise pas que sur le fichier [i]contact.php[/i], mais sur [b]toutes[/b] les données entrantes.

Re,
[quote="cmoi"]
Merci pour tes conseils, certainement précieux, mais, franchement, je n'y ai rien compris !!
Je ne suis qu'un bidouilleur pas un programmeur ...
[/quote]
Je vais tenter de faire plus clair:

J'ai été sur ton site et ai remarqué que ton script html est plus qu'invalide puisqu'il est faux.
Des tags inconnus sont présents. Des balises s'ouvrent et se ferment mais le nom du tag diffère...
Désolé, dans le premier post j'ai tenté d'y aller léger mais je vois mal comment, en étant plus clair,
continuer à l'être.

Ensuite sur le script php je mentionnais le fait qu'il valait toujours mieux vérifier tes données. Surtout
celles venant de ton formulaire. En gros: Etre parano !

Pour finir je te conseillais de récupèrer l'IP de celui qui envoye un formulaire dans un champ caché
pour, une fois rapatrié, pouvoir comparer l'heure d'envoi du dit formulaire avec l'heure d'accès du
"méchant hacker présumé" afin de tenter de le tracer et prévenir qui de droit. Avoir le domaine est pas
bien compliquer donc... Faut juste se rappeller qu'un formulaire envoyé l'est probablement par quelqu'un
qui n'y est pour rien.

Enfin, la constituante principale d'un virus c'est de se propager. Son action primaire, en ce cas,
est vérifier s'il est déja présent sur le disque, (c'est généralement ce qu'ils font) s'il ne l'est pas il se
copie. L'idée que je te proposais était de créer un fichier à son nom (avec des chmods corrects) et d'y
placer [i]exit();[/i] comme ca, sil y a vraiment vérification il ne se créra pas... puisque constatant qu'un
fichier de même nom existe déja. Si le fichier est lancé l'éxécution sera juste rendre la main. Solution
basique, nullement parfaite mais les petits rigolos qui font ce genre de conneries (et c'est la majorité)
sont souvent des baleines avec un QI proche de celui d'une huitre, autrement dit je doute qu'ils prennent
la peine de faire d'autres vérifs... ;) Ceci dit, j'écris cela avec l'idée qu'il agit sur ton/tes
sites uniquement à partir d'une porte que tu aurais laissé ouverte dans ton script. Pas s'il a un accès à
ton ftp ou autre et en admétant qu'il ne s'agisse pas du petit frère ou du cousin de Mitnick (joke) ;)

Je te donnais aussi une raison possible à la présence d'un tel fichier: Download de fichiers ciblés.
Technique utilisée par [i]exemple[/i] dans les sites de "Q"... Contrairement aux membres qui payent
ceux qui ont accès à ce fichier ont les images gratis. C'est un exemple hein, juste ca ;)

@+ ;)

PS: Il se peut, aussi, que j'ai tout faux. L'est possible que l'ajout de l'entête se soit OVH... va savoir ;)

[quote="FuZZyLine"]Salut,

Je viens vous embéter les gens... ;)

Plus sèrieusement quelques détails m'ont un peu désorienté. Je remets pas ta compétence en jeu,
hein, le prend donc pas mal.

Par exemple un tag <left> qui est mentionné dans le source que j'ai matté m'a fait un peu peur...
Comme d'autre "pitits" détails. Si je peux me permetre, revois ton html tu y véras plus clair.

Côté php, pour ce que j'en ai vu, aucun filtre n'existe. Peu conseillé.

Pour ton "CoWbOyDuWeB" ajoute un champ caché nommé IP. De l'autre côté du miroir ce sont
souvent des lamers, ca devrait donc pas vraiment difficile de récupérer son ip.
Après, bah, ...à toi d'agir.

Pour l'action du prog: Regarde son extension.
M'est d'avis qu'il permet juste du DL de fichiers ciblés. En l'occurence d'images. (vu le nom et son emplacement)

Ce que tu peux faire c'est remplacer ce fichier par un qui soit neutre. Un fichier qui ne fasse qu'un exit().
Tu peux aussi lui attribuer des droits limités et réservés, comme ca, au moins, il pourra pas être remplacé
par, "le vrai", celui que tu veux éradiquer. (...Cette solution a ses limites et elles sont assez faibles mais
tu peux toujours essayer en attendant de trouver mieux).

@+ bon code ;)[/quote]

Merci pour tes conseils, certainement précieux, mais, franchement, je n'y ai rien compris !!
Je ne suis qu'un bidouilleur pas un programmeur ... =P~ :?

Salut,

Je viens vous embéter les gens... ;)

Plus sèrieusement quelques détails m'ont un peu désorienté. Je remets pas ta compétence en jeu,
hein, le prend donc pas mal.

Par exemple un tag <left> qui est mentionné dans le source que j'ai matté m'a fait un peu peur...
Comme d'autre "pitits" détails. Si je peux me permetre, revois ton html tu y véras plus clair.

Côté php, pour ce que j'en ai vu, aucun filtre n'existe. Peu conseillé.

Pour ton "CoWbOyDuWeB" ajoute un champ caché nommé IP. De l'autre côté du miroir ce sont
souvent des lamers, ca devrait donc pas vraiment difficile de récupérer son ip.
Après, bah, ...à toi d'agir.

Pour l'action du prog: Regarde son extension.
M'est d'avis qu'il permet juste du DL de fichiers ciblés. En l'occurence d'images. (vu le nom et son emplacement)

Ce que tu peux faire c'est remplacer ce fichier par un qui soit neutre. Un fichier qui ne fasse qu'un exit().
Tu peux aussi lui attribuer des droits limités et réservés, comme ca, au moins, il pourra pas être remplacé
par, "le vrai", celui que tu veux éradiquer. (...Cette solution a ses limites et elles sont assez faibles mais
tu peux toujours essayer en attendant de trouver mieux).

@+ bon code ;)

là ça dépasse mes compétences !!

une précision : le formulaire ne remplit pas la base directement. Je ne sais pas si ça change quelque chose ....

il est simple d'envoyer un code via une variable POST , qui ce vera exécuter côte serveur , imagine s'il te met un formulaire qui va télécharger un fichier de son ordinateur sur le tiens via cette variable ...

D'où l'importance de cette vérification, à partir de ce script php insérer , il peut tout te prendre ;)

Bye Hawk

Fait comme tu veux :wink:

en prenant en exemple le code php du formulaire de la page de contact, je ne vois pas ce qui permettrait d'agir sur mon ftp !

Ok donc il y a plusieurs failles sur ton site web.
Faut vérifier toutes données entrantes, qui sont donc les $_POST, $_GET et ensuite les requêtes SQL...

avec des isset(), empty(), c_type(), preg_, htmlspecialchars ...