R. Lyès Posté 22 Décembre 2005 Partager Posté 22 Décembre 2005 Juste pour info le site guide-serveur.fr vient de se faire hacker !!! Je suis debutant et je n'aimerai pas avoir le meme problème pouvez vous me donner quelques conseil ou pieges a éviter pour ne pas me faire hacker !!! Lien vers le commentaire Partager sur d’autres sites More sharing options...
kazhar Posté 22 Décembre 2005 Partager Posté 22 Décembre 2005 (modifié) eh bien, il suffit de faire un truc "sécurisé" pour cela, il faut empecher les injections de code (c'est probablement ce qui s'est produit la) en utilisant la fonction addslashes sur toutes les variables entrantes dans ton site. pareil pour les requetes sql, afin d'eviter l'injection sql. et il faut toujours prendre des mots de passe sécurisés (qui n'ont aucun rapport avec toi. pas de ta date de naissance, pas le nom de ton chien, ...) apres, le gros probleme, c'est que tu découvre souvent les failles que lorsqu'elles sont utilisées. donc, toujours avoir une sauvegarde de secour dans le cas ou ca arrive. Modifié 22 Décembre 2005 par KaZhaR Lien vers le commentaire Partager sur d’autres sites More sharing options...
R. Lyès Posté 22 Décembre 2005 Auteur Partager Posté 22 Décembre 2005 Pour ce qui est de programmation PHP / MySQL je mi connais trés bien mais je voulais parler de la sécurité du serveur ! et merci de ta réponse rapide Lien vers le commentaire Partager sur d’autres sites More sharing options...
AvenueDuWeb Posté 22 Décembre 2005 Partager Posté 22 Décembre 2005 Vu le message affiché en page d'accueil, le hackeur a semble-t-il simplement utilisé une faille de phpbb. Certainement que phpbb n'était pas à jour. Il faut faire très attention aux scripts hébergés, je pense que la majorité des hacking proviennent de là, donc bien faire attention aux scripts les plus connus : spip, phpbb, invision, vbulletin, punbb, dotclear le mieux c'est de s'inscrire aux newsletter quand c'est possible, comme ça dès qu'une faille est découverte tu le sais en très peu de temps. Mais sinon le meilleur conseil est bien sûr des sauvegardes régulières extérieures, ça permet au moins en cas de hacking de pouvoir remettre tout en place sans trop de perte et en un minimum de temps. @+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
R. Lyès Posté 22 Décembre 2005 Auteur Partager Posté 22 Décembre 2005 Effectivement il semble que le hacker a utilisé une faille de phpBB pour prendre le control du site. Aprés cette experience je pense que je ne toucherai plus jamais a phpBB . et merci aussi de ta réponse Lien vers le commentaire Partager sur d’autres sites More sharing options...
Karma Posté 2 Février 2006 Partager Posté 2 Février 2006 Est ce que les dev de phpBB pense faire des patchs de securité ? ou une autre version ? ou ya t il deja des news sur ce sujet ? a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
xpatval Posté 3 Février 2006 Partager Posté 3 Février 2006 Bonjour, en utilisant la fonction addslashes sur toutes les variables entrantes dans ton site. Heu, là, j'avoue que je ne comprends pas l'intérêt du addslashes() pour lutter contre les hacks.... xpatval Lien vers le commentaire Partager sur d’autres sites More sharing options...
Portekoi Posté 3 Février 2006 Partager Posté 3 Février 2006 Cela permet de contrer une injection SQL par exemple lorsque les Magic Quotes ne sont pas activées.... Lien vers le commentaire Partager sur d’autres sites More sharing options...
xpatval Posté 3 Février 2006 Partager Posté 3 Février 2006 Cela permet de contrer une injection SQL par exemple lorsque les Magic Quotes ne sont pas activées.... <{POST_SNAPBACK}> Bon d'accord, je suis lourd, mais...tu peux m'expliquer avec un exemple ? xpatval Lien vers le commentaire Partager sur d’autres sites More sharing options...
slender Posté 3 Février 2006 Partager Posté 3 Février 2006 Bon d'accord, je suis lourd, mais...tu peux m'expliquer avec un exemple ? Lit ce tuto il explique bien le sujet des magic quotes et de la protection des données d'entrées avec les magic quotes désactivées: http://www.phpfrance.com/tutoriaux/index.p...es-magic-quotes slender Lien vers le commentaire Partager sur d’autres sites More sharing options...
Théo B. Posté 3 Février 2006 Partager Posté 3 Février 2006 (modifié) Imagine que tu fasse un truc comme ça : "UPDATE membres SET password='".$newpassword."' WHERE id='".$id."'"; Imagine que le id est issu d'un GET et qu'un utilisateur mal intentionné ait mis à la place ' OR 1='1 Remplace le $id par ça et tu verras la faille Modifié 4 Février 2006 par Théo B. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant