Site internet hacké par injection mysql - Forum Discussions générales

La Communauté Webmaster

  Forum-webmaster
  Général
  Discussions générales (Modérateurs: Jey, Dark.Ginger, Lilian, lauryv, ToToMaStEr, Wolf18)
  Site internet hacké par injection mysql

« Précédent Suivant »

Pages: [1]

Auteur

Sujet: Site internet hacké par injection mysql (Lu 5508 fois)

Site internet hacké par injection mysql
« sur: le 25-01-2015 a 15:59:48 »

sam01
Membre récent

Hors-Ligne

Messages: 42

Je suis un lama!

Bonjour à tous,

voilà, j'ai un site internet qui exitse depuis bien tôt 5 ans et ces duex derniers, j'ai subi deux attaques de hackers qui ont eu pour conséquences de vider certaines
tables de base de données.
Je suppose que cela à été fait par des injections mysql mais je n'en suis pas sûr ?
Comment le savoir ?
Comment savoir à quel niveau de mon site se trouve les failles mysql.
Les mot de passe de mes utilisateur ne sont pas cryptés. Mais je pense que même si je les crypte, les hackers parviendront à vider à nouveau mes tables par des injections mysql.

Existe-t'il un forum en sécurité site web qui pourrait m'aider à sécuriser mon site. Ou encore de trouver d'où vient la faille.

Merci d'avance pour votre aide.

Rapporter au modérateur

Re:Site internet hacké par injection mysql
« Répondre #1 sur: le 25-01-2015 a 16:26:04 »

tof73
P'tit nouveau

Hors-Ligne

Messages: 79

il faut regarder les logs du site pour voir si c'est bien une injection sql.
après, sans l'url du site, on ne peut pas en dire plus.

Rapporter au modérateur

Re:Site internet hacké par injection mysql
« Répondre #2 sur: le 25-01-2015 a 18:15:41 »

pppplus
Habitué

Hors-Ligne

Messages: 482

php / mysql

Ce ne sont pas les mots de passes non cryptés des utilisateurs qui sont la source de l'injection.

Mais par contre, c'est encore pire, car ça veut dire que votre pirate, peut prendre les logins et passe de vos membres, ce qui est très grave !
Car nombreux sont les membres (inconscients, fainéants, ignorants...) qui mettent les mêmes mots de passe et login partout !

Où se trouve l'injection... là, c'est une autre histoire, ça peut être un peu partout.
Il faut analyser votre code, et si vous n'êtes pas programmeur, il faudra forcément faire appel à un développeur pour colmater un maximum de brèches.

Si vous utilisez un CMS, il faut le mettre à jour (mais mot de passe non cryptés, je doute que ça soit un CMS), mettre à jour les plugins, virer les plugins inutiles...

Rapporter au modérateur

capsules rechargeables Dolce Gusto et Nespresso
jeux flash gratuits avec la plus grosse boutique cadeaux du net
Accessoires cuisine pratiques

Re:Site internet hacké par injection mysql
« Répondre #3 sur: le 25-01-2015 a 20:46:28 »

sam01
Membre récent

Hors-Ligne

Messages: 42

Je suis un lama!

Bonjour,

j'ai essayé de vous envoyé une partie de log du 23 janvier. C'est le jour où j'ai découvert que mon à été piraté. Mais la log est trop longue.
Je vais essayer de vous l'envoyer en mp.

Voici une petite partie en attendant :

Code:

188.165.15.240 - - [23/Jan/2015:11:45:46 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=68&p=69&p=70&p=71&p=72&p=74&p=75&p=76&p=2&p=6&p=8&p=7&p=5&p=77&p=73 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.234 - - [23/Jan/2015:11:48:08 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=58&p=68&p=69&p=71&p=74&p=75&p=2&p=1&p=8&p=77&p=70&p=72&p=76&p=73&p=78&p=79&p=80&p=81 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.181 - - [23/Jan/2015:11:48:17 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=59&p=68&p=69&p=70&p=72&p=74&p=73&p=75&p=76&p=2&p=5&p=77&p=71 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.15 - - [23/Jan/2015:11:48:55 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=68&p=69&p=70&p=72&p=74&p=67&p=75&p=2&p=8&p=6&p=7&p=76&p=77&p=73&p=71&p=79 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.29 - - [23/Jan/2015:11:49:29 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=68&p=69&p=70&p=71&p=74&p=75&p=72&p=2&p=5&p=76&p=73&p=78&p=79 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
46.4.87.105 - - [23/Jan/2015:11:52:15 +0100] "GET /robots.txt HTTP/1.1" 404 1148 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
46.4.87.105 - - [23/Jan/2015:11:52:20 +0100] "GET /mess-reception-ecrire-664.html HTTP/1.1" 302 0 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
46.4.87.105 - - [23/Jan/2015:11:52:24 +0100] "GET /connexion.php HTTP/1.1" 200 6081 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)"
157.55.39.203 - - [23/Jan/2015:11:52:40 +0100] "GET /images/photo/815/953.jpeg HTTP/1.1" 200 10856 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
188.165.15.234 - - [23/Jan/2015:11:54:06 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=59&p=68&p=69&p=70&p=72&p=74&p=75&p=71&p=2&p=5&p=8&p=7&p=3&p=4&p=77&p=78&p=79&p=76&p=73&p=80 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.15 - - [23/Jan/2015:11:54:36 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=58&p=68&p=69&p=70&p=71&p=72&p=74&p=75&p=2&p=4&p=8&p=5&p=7&p=6&p=76&p=73&p=77&p=79&p=81&p=80 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.79 - - [23/Jan/2015:11:57:02 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=68&p=71&p=74&p=70&p=75&p=69&p=77&p=73&p=76&p=72&p=2&p=8&p=6&p=3&p=5&p=4&p=7&p=78 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.36 - - [23/Jan/2015:11:57:23 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=67&p=68&p=69&p=70&p=71&p=72&p=73&p=74&p=75&p=2&p=3&p=5&p=76&p=4&p=6&p=8&p=10&p=11&p=12&p=77&p=78&p=79&p=80 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
188.165.15.119 - - [23/Jan/2015:11:59:21 +0100] "GET /liste.php?continent=-1&ad_pays=-1&ville=-1&type=-1&pers=-1&date1=&date2=&valide_form=Envoyer+ces+informations&p=9&p=61&p=60&p=62&p=63&p=65&p=64&p=66&p=68&p=69&p=67&p=70&p=72&p=74&p=75&p=71&p=2&p=7&p=6&p=5&p=3&p=4&p=77&p=73&p=78&p=79&p=80 HTTP/1.1" 200 324 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"

Rapporter au modérateur

Re:Site internet hacké par injection mysql
« Répondre #4 sur: le 25-01-2015 a 21:20:21 »

pppplus
Habitué

Hors-Ligne

Messages: 482

php / mysql

Bonsoir

Les logs peuvent donner des pistes ou non (un bon pirate va les effacer !).

Il faut surtout réfléchir par rapport à vos scripts PHP, prioritairement toutes les pages ou un utilisateur peut entrer des données (donc tous les formulaires, pages d'upload de fichiers...)
Et donc sécuriser tout vos formulaires.

Pensez aussi à changer tous vos mots de passe (ftp, mysql, accès admin....)
Mettez bien des mots de passe unique et très compliqué.

Rapporter au modérateur

capsules rechargeables Dolce Gusto et Nespresso
jeux flash gratuits avec la plus grosse boutique cadeaux du net
Accessoires cuisine pratiques

Re:Site internet hacké par injection mysql
« Répondre #5 sur: le 25-01-2015 a 21:26:36 »

sam01
Membre récent

Hors-Ligne

Messages: 42

Je suis un lama!

J'ai déjà fait tout ça...
Comment savoir quelles sont mes requêtes qui ont une faille ?
Quelles sont mes pages qui peuvent être attqquées par des injections mysql ?

Voici par exemple ma requête de connexion qui est présente sur toutes les pages :

Code:

if (isset($_POST['valide'])) // si clique sur le bouton ok
 {

 if(empty($_SESSION["mail"])) // si l'utilisateur n'est pas connecté
 {
 if(isset($_POST["mail"])) {$mail = $_POST['mail'];} else { $mail = "";}
 if(isset($_POST["mdp"])) {$mdp = $_POST['mdp'];} else { $mdp = "";}
 }

 if(empty($erreur[0]))
 {
 include ('connect.php');
 /* on va d abord chercher si le client n'existe pas en effectuant un test sur la boîte mail */
 $sql = sprintf("select * from flatforswap_adherent where mail=%s and mdp=%s and valide !=%s", quote_smart($mail), quote_smart($mdp), quote_smart('0'));
 $req = mysql_query($sql) or die('Erreur SQL : '.$sql);
 if (mysql_num_rows($req) == 1)
 {
 $data = mysql_fetch_assoc($req);
 $valide = $data['valide'];
 if ($valide == 2){
 $verifexist = true;}
 elseif($valide == 1){
 $verifexist = false;
 $erreurc[] = '<center>'.$idem_txt0032.'</center>';}
 }
 else
 {
 $verifexist = false;
 $erreurc[] = '<center>'.$idem_txt0033.'</center>';
 }
 mysql_close();
 if ($verifexist == 'true')
 {
 $_SESSION['mail'] = $data['mail']; /* l'adhérent est maintenant connecté */

 include ('connect.php');
 // $sqld = sprintf("SELECT id_adh FROM flatforswap_adherent WHERE mail=%s", quote_smart($_SESSION["mail"]));
 // 20/04/2012 on rajoute la clause WHERE $valide = 2
 $sqld = sprintf("SELECT id_adh FROM flatforswap_adherent WHERE mail=%s and valide =%s", quote_smart($_SESSION["mail"]), quote_smart('2'));
 $reqd = mysql_query($sqld) or die('Erreur SQL : '.$sqld);
 $datad = mysql_fetch_assoc($reqd);
 $id_adh = $datad['id_adh'];
 $_SESSION['id_adh'] = $id_adh; /* on met id_adh en session afin d'éviter des requête inutiles */
 }
 }

 // message d'erreur
 //if(isset($erreurc[0])) {for($i=0;$i<sizeof($erreurc);$i++) { echo $erreurc[$i];}}

 }


Est-ce qu'il y a une faille dans cette requête ?

Rapporter au modérateur

Re:Site internet hacké par injection mysql
« Répondre #6 sur: le 25-01-2015 a 21:50:11 »

pppplus
Habitué

Hors-Ligne

Messages: 482

php / mysql

if(isset($_POST["mail"])) {$mail = $_POST['mail'];}

Vous faites confiance aux données utilisateurs.
Un utilisateur peut rentrer n'importe quoi, et avec quelques petites connaissances et essais a des chances de passer.

il faut au moins par exemple :
$mail = mysql_real_escape_string($_POST['mail']);
(ne marche que si la connexion mysql est ouverte)

D'autres moyens existent.
Le principe, vous devez nettoyer toutes les entrées utilisateurs, et toujours penser qu'un utilisateur peut entrer n'importe quoi, y compris pour nuire.