cookie01 Posté 22 Février 2007 Posté 22 Février 2007 Bonsoir à tous, je recherche quelqu'un qui s'y connaisse très très bien en php, afin de me conseiller pour sécuriser mon site ainsi que mon forum... Mon problème : Un internaute m'espionne et sait tout de moi et il s'en vante en plus, et cela depuis des mois. Il a été jusqu'à découvrir mon adresse et mon numéro de téléphone... et cela m'inquiète, surtout qu'il est webmaster professionnel. C'est pour cela que je cherche une personne qui s'y connaisse très bien en php. Il a trouvé mais infos perso par le biais du Whois sur OVH mais vu que mon site n'est pas très sécurité, il a réussi à lire les messages d'un forum qui été caché et réservé aux modérateurs !!! Je suis débutant en php et cela me permettera d'apprendre de nouvelles choses sur php. Merci d'avance
K-Ola Posté 22 Février 2007 Posté 22 Février 2007 Le premier conseil que je peut te donner est de mettre à jour ton forum. Généralement ce genre de faille est assez ancienne et des mises à jour existes.
astrofiles Posté 22 Février 2007 Posté 22 Février 2007 (modifié) Bonsoir, Ce n'est pas un expert en php qu'il te faut mais juste appliquer des correctifs sur ton forum si ils existent . edit : hoops trop rapide pour moi K-Ola :-) Modifié 22 Février 2007 par astrofiles
cookie01 Posté 22 Février 2007 Auteur Posté 22 Février 2007 Le premier conseil que je peut te donner est de mettre à jour ton forum.Généralement ce genre de faille est assez ancienne et des mises à jour existes. je l'ai toujours tenue à jour justement, mais je crois qu'il n'y a pas grand chose qui stop ce webmaster ... :!:
Sarc Posté 22 Février 2007 Posté 22 Février 2007 Bonjour, Nous n'avons pas d'URL. Dur de voir quelle peut être la cause ... Le Hub n'a pas pour vocation de travailler sur ton site, mais de donner des conseils et marches à suivres pour améliorer toi-même ton site. Si tu nous donnes l'URL, nous pourrons peut-être regarder rapidement ce qui peut ne pas aller ! Bonne chance en tout cas... S'il va trop loin, tu peux toujours récupérer son IP, tenter de le bannir par IP (déjà ça de gagné s'il est en IP fixe et qu'il veut pas chercher à contourner) puis de contacter son FAI en expliquant la situation.
cookie01 Posté 22 Février 2007 Auteur Posté 22 Février 2007 Bonsoir, Ce n'est pas un expert en php qu'il te faut mais juste appliquer des correctifs sur ton forum si ils existent . edit : hoops trop rapide pour moi K-Ola :-) oui ils existent bien des petits mods phpbb pour la sécurit mais si c'est pas plus terrible que les codes initiales du forum... d'après lui php est vraiment "nul". J'ai entendu parler de "Mod_Security". "Ce module Open-source disponible pour Apache est à lui seul un détecteur de tentative dintrusion et un rempart face à une multitude dattaques connues." http://www.vulnerabilite.com/actu/20031021...d_security.html Est ce bien ??? Bonjour, Nous n'avons pas d'URL. Dur de voir quelle peut être la cause ... Le Hub n'a pas pour vocation de travailler sur ton site, mais de donner des conseils et marches à suivres pour améliorer toi-même ton site. Si tu nous donnes l'URL, nous pourrons peut-être regarder rapidement ce qui peut ne pas aller ! Bonne chance en tout cas... S'il va trop loin, tu peux toujours récupérer son IP, tenter de le bannir par IP (déjà ça de gagné s'il est en IP fixe et qu'il veut pas chercher à contourner) puis de contacter son FAI en expliquant la situation. Voici l'url : http://acdcbackinblack.net/index2.php Je veux juste des conseils, ce n'est pas à vous de faire tout le travail pour moi, ce qui ne me serait pas bénéfique... Je peux faire comment pour récupérer son IP et tenter de la bannir car comme tu dis ce n'est pas sûr qu'elle soit fixe... Je ne savais pas que je pouvais contacter son FAI pour lui expliquer la situation mais j'hésite à faire ça car il a mon adresse et tout maintenant.
Dan Posté 22 Février 2007 Posté 22 Février 2007 Mod_security ne peut s'installer que si tu es sur un serveur dédié... ce qui ne semble pas être le cas (tu es en mutualisé OVH). L'avantage des serveurs dédiés OVH est qu'ils sont sûrs. Donc la faille vient certainement de phpBB. Il est clair que PhpBB peut se montrer être une véritable passoire si on oublie de le mettre à jour. As-tu bien fait la mise à jour vers la version 2.0.22 ? http://www.webmaster-hub.com/index.php?sho...c=31150&hl= Ce "malfaisant" est-il membre simple sur ton forum, et n'a-t-il pas laissé un login lui donnant des droits de modérateur ou pire d'admin ? Regarde les comptes d'admin et modérateur actuels, et interroge tes modos pour savoir s'il connaît l'un d'eux. Il est aussi possible que l'un de tes modérateurs ne fasse pas preuve de la réserve qu'il devrait avoir dans le cadre de sa fonction. Dans ce cas je ne saurais que te conseiller de le bannir rapidement. je l'ai toujours tenue à jour justement, mais je crois qu'il n'y a pas grand chose qui stop ce webmaster ... q_smallexcla.gif Un bon webmaster se doit de stopper ce type de membre indélicat. Et qu'il connaisse ton adresse ne change rien, il ne faut pas te laisser intimider par ce détail. En ce qui concerne tes coordonnées perso, elles sont faciles à trouver par un simple whois sur ton nom de domaine. Il n'y a rien de bien spectaculaire à trouver ton numéro de téléphone. S'il s'en vante, c'est qu'il n'a rien compris à l'Internet, de ce fait tu peux le virer sans état d'âme
cookie01 Posté 22 Février 2007 Auteur Posté 22 Février 2007 (modifié) Il est clair que PhpBB peut se montrer être une véritable passoire si on oublie de le mettre à jour. As-tu bien fait la mise à jour vers la version 2.0.22 ? Ce "malfaisant" est-il membre simple sur ton forum, et n'a-t-il pas laissé un login lui donnant des droits de modérateur ou pire d'admin ? Regarde les comptes d'admin et modérateur actuels, et interroge tes modos pour savoir s'il connaît l'un d'eux. Il est aussi possible que l'un de tes modérateurs ne fasse pas preuve de la réserve qu'il devrait avoir dans le cadre de sa fonction. Dans ce cas je ne saurais que te conseiller de le bannir rapidement. Un bon webmaster se doit de stopper ce type de membre indélicat. Et qu'il connaisse ton adresse ne change rien, il ne faut pas te laisser intimider par ce détail. En ce qui concerne tes coordonnées perso, elles sont faciles à trouver par un simple whois sur ton nom de domaine. Il n'y a rien de bien spectaculaire à trouver ton numéro de téléphone. S'il s'en vante, c'est qu'il n'a rien compris à l'Internet, de ce fait tu peux le virer sans état d'âme je n'ai malheureusement pas fait la mise à jour du forum derrièrement car j'ai plusieurs mods installés et si je fais la mise à jour, ils vont disparaitre et surement créer des erreurs... (je suis à l'avant dernière version 2.0.21) Concernant mes modos ils sont tous rentrés en contact avec lui mais j'ai une entière confiance en eux, et puis ils ne sont pas admin Le gars n'est même pas inscrit sur mon forum, il a été inscrit mais j'ai supprimé son compte... Apparemment il infiltre mon forum sans être inscrit !!! Je suis près à le bloquer définitivement Modifié 22 Février 2007 par cookie01
cookie01 Posté 22 Février 2007 Auteur Posté 22 Février 2007 je n'ai malheureusement pas fait la mise à jour du forum derrièrement car j'ai plusieurs mods installés et si je fais la mise à jour, ils vont disparaitre et surement créer des erreurs... (je suis à l'avant dernière version 2.0.21) Je viens de découvrir que l'on peut faire une mise à jour sur chaque fichier, bien pratique lorsque l'on a des mods... je le mets à jour le plus vite possible
cookie01 Posté 23 Février 2007 Auteur Posté 23 Février 2007 Bon voilà j'ai mis à jour mon forum, et j'ai sécurisé 2-3 trucs avec un tuto trouvé sur le net Sur mon site, j'avais avec l'aide de quelqu'un sécurisé mon include car un hacker m'avait piraté en exécutant une requête à partir de ma variable $zone. Mais ça c'est fait. Y aurait t'il autre chose à sécurisé, utiliser un .htaccess ??? J'avais essayé de mettre un .htaccess mais pas moyen qu'il fonctionne. Je rentrais les identifiants mais rien à faire, il me remmettait la fenêtre de connexion... Et puis où faut il mettre un .htaccess si ce n'est dans le dossier admin du site ??? Merci d'avance
suede Posté 24 Février 2007 Posté 24 Février 2007 Bon voilà j'ai mis à jour mon forum, et j'ai sécurisé 2-3 trucs avec un tuto trouvé sur le net Sur mon site, j'avais avec l'aide de quelqu'un sécurisé mon include car un hacker m'avait piraté en exécutant une requête à partir de ma variable $zone. Mais ça c'est fait. Y aurait t'il autre chose à sécurisé, utiliser un .htaccess ??? J'avais essayé de mettre un .htaccess mais pas moyen qu'il fonctionne. Je rentrais les identifiants mais rien à faire, il me remmettait la fenêtre de connexion... Et puis où faut il mettre un .htaccess si ce n'est dans le dossier admin du site ??? Merci d'avance Tu proteges le repertoire admin avec un htaccess.
cookie01 Posté 24 Février 2007 Auteur Posté 24 Février 2007 (modifié) Voilà j'ai ajouté un .htaccess à mon dossier admin en suivant le totu du Hub mais rien à faire... Je rentre les identifiants, je clique sur ok et il me remmettait la fenêtre de connexion... pourquoi donc ??? Contenu de .htaccess : AuthUserFile /.htpasswdAuthGroupFile /dev/nullAuthName "Acces Restreint"AuthType Basic<Limit GET POST>require valid-user</Limit> Contenu de .htpasswd : pseudo :pass Il y a t'il une erreur ? Merci Modifié 24 Février 2007 par cookie01
Sarc Posté 24 Février 2007 Posté 24 Février 2007 Bonjour, Le mot de passe doit être crypté pour que ça marche convenablement. Dans les outils du Hub, tu peux crypter le mot de passe que tu souhaites tout en bas... Remplace ensuite ton htpasswd
cookie01 Posté 24 Février 2007 Auteur Posté 24 Février 2007 Bonjour, Le mot de passe doit être crypté pour que ça marche convenablement. Dans les outils du Hub, tu peux crypter le mot de passe que tu souhaites tout en bas... Remplace ensuite ton htpasswd ça ne marche toujours pas je comprends pas pourquoi ? Y aurait t'il une configuration à faire sur son hébergement ?
Loupilo Posté 24 Février 2007 Posté 24 Février 2007 Essaie dans le .htaccess d'indiquer le chemin absolu vers le .htpasswd (un truc peut-être du genre /home/a/5/site15245/.htpasswd (j'invente)) au lieu du chemin relatif. Et vérifie que tu ne mets pas d'espace : pseudo:mdp
cookie01 Posté 24 Février 2007 Auteur Posté 24 Février 2007 J'ai essayer plus de dix solutions différentes mais rien à faire D'où peut venir le problème
Sarc Posté 25 Février 2007 Posté 25 Février 2007 Quelles sont les adresses que tu as renseignées pour ton .htpasswd dans ton .htaccess ? Dans quels dossiers de ton FTP les as-tu placés, les deux ?
cookie01 Posté 25 Février 2007 Auteur Posté 25 Février 2007 ils sont tout les deux dans le même dossier. AuthUserFile /www/nom_du_dossier/.htpasswd j'ai mis ça et ça marche pas
Sarc Posté 25 Février 2007 Posté 25 Février 2007 AuthUserFile .htpasswd Essaye ça, à tout hasard. Je me méfie parfois des absolus qui marchent pas toujours très bien (par exemple dans le GD, où ça marche.. une fois sur deux)
cookie01 Posté 25 Février 2007 Auteur Posté 25 Février 2007 AuthUserFile .htpasswd Essaye ça, à tout hasard. Je me méfie parfois des absolus qui marchent pas toujours très bien (par exemple dans le GD, où ça marche.. une fois sur deux) non ça ne marche toujours pas franchement je n'y comprends plus rien...
Jeanluc Posté 25 Février 2007 Posté 25 Février 2007 AuthUserFile /www/nom_du_dossier/.htpasswd j'ai mis ça et ça marche pas Ton chemin absolu n'est probablement pas bon. Essaie ce script: <?php$absolute_path = dirname(__FILE__);echo "Le chemin absolu est " . $absolute_path . "\n";?> Jean-Luc
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant