Hacking chez Rya-Network

Spontex wrote:

Je n'utilise pas de portail, j'ai tout codé à la main.
Tu as plein d'erreurs qui ne sont pas trappées :

Warning: main(): open_basedir restriction in effect. File(/Table.php) is
not within the allowed path(s): (/tmp:/usr/www/dvdtoile.com) in
/usr/www/dvdtoile.com/www/php/Design.php on line 6

Warning: main(/Table.php): failed to open stream: Operation not
permitted in /usr/www/dvdtoile.com/www/php/Design.php on line 6

Fatal error: main(): Failed opening required '/Table.php'
(include_path='.:./include') in /usr/www/dvdtoile.com/www/php/Design.php
on line 6

et d'autres comme :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 41

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 56

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 60

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 61

Warning: session_start(): Cannot send session cookie - headers already
sent by (output started at
/usr/www/dvdtoile.com/www/ExecRecherche.php:41) in
/usr/www/dvdtoile.com/www/php/Design.php on line 10

Warning: session_start(): Cannot send session cache limiter - headers
already sent (output started at
/usr/www/dvdtoile.com/www/ExecRecherche.php:41) in
/usr/www/dvdtoile.com/www/php/Design.php on line 10

pour peu qu'on ne mette pas les paramètres que tu attendais dans tes
scripts.
Je ne sais pas non plus si c'est lié, mais tu peux déjà corriger
ça :)
Il reste par ailleurs des pages defacées sur ton site.

--
SR

SR wrote:

Spontex wrote:

Je n'utilise pas de portail, j'ai tout codé à la main.

Tu as plein d'erreurs qui ne sont pas trappées :

Warning: main(): open_basedir restriction in effect. File(/Table.php) is
not within the allowed path(s): (/tmp:/usr/www/dvdtoile.com) in
/usr/www/dvdtoile.com/www/php/Design.php on line 6

Warning: main(/Table.php): failed to open stream: Operation not
permitted in /usr/www/dvdtoile.com/www/php/Design.php on line 6

Fatal error: main(): Failed opening required '/Table.php'
(include_path='.:./include') in /usr/www/dvdtoile.com/www/php/Design.php
on line 6

et d'autres comme :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 41

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 56

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 60

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result
resource in /usr/www/dvdtoile.com/www/ExecRecherche.php on line 61

Warning: session_start(): Cannot send session cookie - headers already
sent by (output started at
/usr/www/dvdtoile.com/www/ExecRecherche.php:41) in
/usr/www/dvdtoile.com/www/php/Design.php on line 10

Warning: session_start(): Cannot send session cache limiter - headers
already sent (output started at
/usr/www/dvdtoile.com/www/ExecRecherche.php:41) in
/usr/www/dvdtoile.com/www/php/Design.php on line 10

pour peu qu'on ne mette pas les paramètres que tu attendais dans tes
scripts.

Si tu veux bien m'envoyer un mail avec les adresses que tu as tapées
pour obtenir ces erreurs, je les corrigerai. Merci !
Mais ces scripts ne sont appelés que par moi, donc à moins de modifier
volontairement l'URL comme tu l'as fait, on ne tombe pas sur ces erreurs !

Je ne sais pas non plus si c'est lié, mais tu peux déjà corriger
ça :)
Il reste par ailleurs des pages defacées sur ton site.

Je sais, mais je n'ai pas ma sauvegarde sous la main... je les
restaurerai ce soir.

SR wrote:

Je ne sais pas non plus si c'est lié

Ce n'est pas lié : la faille de sécurité est au niveau de l'hébergeur,
Rya-Network. Les hackers ont eu accès via FTP aux sites hébergés sur le
serveur 62.93.233.195 (voir
http://forum.rya-network.com/viewtopic.php?td0)

Spontex wrote:

Si tu veux bien m'envoyer un mail avec les adresses que tu as tapées
pour obtenir ces erreurs, je les corrigerai. Merci !
Je t'envoie une copie d'écran du cache d'url de mozilla

par email.

Mais ces scripts ne sont appelés que par moi, donc à moins de modifier
volontairement l'URL comme tu l'as fait, on ne tombe pas sur ces erreurs !
Ben si ton principe c'est : mon site est blindé tant qu'on ne tape

pas des URLs que je n'ai pas prévues, ou que mes paramètres de
formulaire sont ceux que j'avais prévus, ça peut te jouer des tours.

--
SR

SR wrote:

Spontex wrote:

Si tu veux bien m'envoyer un mail avec les adresses que tu as tapées
pour obtenir ces erreurs, je les corrigerai. Merci !

Je t'envoie une copie d'écran du cache d'url de mozilla
par email.

Bien reçu, merci. Mais la plupart des adresses que tu as tapées ne
correspondent même pas à des pages du site !!

Mais ces scripts ne sont appelés que par moi, donc à moins de modifier
volontairement l'URL comme tu l'as fait, on ne tombe pas sur ces
erreurs !

Ben si ton principe c'est : mon site est blindé tant qu'on ne tape
pas des URLs que je n'ai pas prévues, ou que mes paramètres de
formulaire sont ceux que j'avais prévus, ça peut te jouer des tours.

En effet, tu as raison. Il faudrait toujours initialiser les variables
utilisées, sinon il est facile de le faire par passage de paramètres.
Merci de m'avoir signalé ces défauts !