Ces derniers jours, mon site a été hacké à deux reprises. Rien de bien
méchant, mais j'ai pris les dispositions nécessaires afin de sécuriser
la bête (qui ne l'était pas...)
Je me pose une question, en scrutant les logs, il doit etre possible de
retrouver les infos concernant ces sales gamins.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine
perdue ou le jeu en vaut-il la chandelle ?
Je n'ai jusqu'a présent jamais été confronté à ce genre de chose, c'est
pourquoi je me pose ces questions.
Non. C'est une tentative de d'injection de code. En fait, le mec suppose que l'un de tes arguments va être passé tel quel à un fopen() et que tu auras l'URL_fopen wrapper actif pour, au lieu d'ouvrir un fichier local, ouvrir la site qu'il te passe en paramètre.
Bon ben c'est déjà ça, si ça au moins c'est bloqué...
Entre nous, ça m'étonnerait qu'elle soit normale. Tu devrais faire le tour de ton application pour regarder un peu ce qu'elle prend comme paramètres, son mode de fonctionnement, etc. Je sais que c'est chiant, mais c'est comme ça qu'on arrive à distinguer ce qui est normal de ce qui ne l'est pas.
Le probleme c'est que j'essaye de m'en sortir avec les patchs disponibles sur le net.
Ben ouais. C'est pas l'IP qu'il faut bloquer, juste la requête malicieuse. Tu imagine si tu bloque un proxy par exemple ?
Quant à ton whois, je ne sais pas sur quel serveur tu le fais, mais il est faux...
ReferralServer: whois://whois.ripe.net:43
C'est pas ça ?
Non. C'est une tentative de d'injection de code. En fait, le mec suppose
que l'un de tes arguments va être passé tel quel à un fopen() et que tu
auras l'URL_fopen wrapper actif pour, au lieu d'ouvrir un fichier local,
ouvrir la site qu'il te passe en paramètre.
Bon ben c'est déjà ça, si ça au moins c'est bloqué...
Entre nous, ça m'étonnerait qu'elle soit normale. Tu devrais faire le
tour de ton application pour regarder un peu ce qu'elle prend comme
paramètres, son mode de fonctionnement, etc. Je sais que c'est chiant,
mais c'est comme ça qu'on arrive à distinguer ce qui est normal de ce
qui ne l'est pas.
Le probleme c'est que j'essaye de m'en sortir avec les patchs
disponibles sur le net.
Ben ouais. C'est pas l'IP qu'il faut bloquer, juste la requête
malicieuse. Tu imagine si tu bloque un proxy par exemple ?
Quant à ton whois, je ne sais pas sur quel serveur tu le fais, mais il
est faux...
Non. C'est une tentative de d'injection de code. En fait, le mec suppose que l'un de tes arguments va être passé tel quel à un fopen() et que tu auras l'URL_fopen wrapper actif pour, au lieu d'ouvrir un fichier local, ouvrir la site qu'il te passe en paramètre.
Bon ben c'est déjà ça, si ça au moins c'est bloqué...
Entre nous, ça m'étonnerait qu'elle soit normale. Tu devrais faire le tour de ton application pour regarder un peu ce qu'elle prend comme paramètres, son mode de fonctionnement, etc. Je sais que c'est chiant, mais c'est comme ça qu'on arrive à distinguer ce qui est normal de ce qui ne l'est pas.
Le probleme c'est que j'essaye de m'en sortir avec les patchs disponibles sur le net.
Ben ouais. C'est pas l'IP qu'il faut bloquer, juste la requête malicieuse. Tu imagine si tu bloque un proxy par exemple ?
Quant à ton whois, je ne sais pas sur quel serveur tu le fais, mais il est faux...
ReferralServer: whois://whois.ripe.net:43
C'est pas ça ?
Cedric Blancher
Le Fri, 25 Jun 2004 11:33:14 +0000, Toto a écrit :
Le probleme c'est que j'essaye de m'en sortir avec les patchs disponibles sur le net.
Mais c'est courir derrière. Prendre de l'avance, quand on le temps évidemment, est un plus.
ReferralServer: whois://whois.ripe.net:43 C'est pas ça ?
Si, mais je n'obtiens pas la même chose :
:~/Documents$ telnet whois.ripe.net 43 % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html
217.160.129.159 inetnum: 217.160.128.0 - 217.160.143.255 netname: SCHLUND-CUSTOMERS descr: Schlund + Partner AG descr: NCC#1999110113 country: DE admin-c: UI-RIPE tech-c: UI-RIPE remarks: INFRA-AW remarks: in case of abuse or spam, please mailto: rev-srv: nsa.schlund.de rev-srv: ns.schlund.de rev-srv: ns2.schlund.de status: ASSIGNED PA mnt-by: SCHLUND-MNT changed: 20040611 source: RIPE
role: Schlund NCC address: Schlund + Partner AG address: Brauerstrasse 48 address: D-76135 Karlsruhe address: Germany remarks: For abuse issues, please use only remarks: For NOC issues, please look at our AS 8560 phone: +49 721 91374 50 fax-no: +49 721 91374 20 e-mail: admin-c: SPNC-RIPE tech-c: SPNC-RIPE nic-hdl: UI-RIPE notify: mnt-by: SCHLUND-MNT changed: 20040512 source: RIPE
Connection closed by foreign host.
Voili.
-- printk("Illegal format on cdrom. Pester manufacturer.n"); 2.2.16 /usr/src/linux/fs/isofs/inode.c
Le Fri, 25 Jun 2004 11:33:14 +0000, Toto a écrit :
Le probleme c'est que j'essaye de m'en sortir avec les patchs
disponibles sur le net.
Mais c'est courir derrière. Prendre de l'avance, quand on le temps
évidemment, est un plus.
ReferralServer: whois://whois.ripe.net:43
C'est pas ça ?
Si, mais je n'obtiens pas la même chose :
cbr@anduril:~/Documents$ telnet whois.ripe.net 43
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html
217.160.129.159
inetnum: 217.160.128.0 - 217.160.143.255
netname: SCHLUND-CUSTOMERS
descr: Schlund + Partner AG
descr: NCC#1999110113
country: DE
admin-c: UI-RIPE
tech-c: UI-RIPE
remarks: INFRA-AW
remarks: in case of abuse or spam, please mailto: abuse@schlund.de
rev-srv: nsa.schlund.de
rev-srv: ns.schlund.de
rev-srv: ns2.schlund.de
status: ASSIGNED PA
mnt-by: SCHLUND-MNT
changed: ncc@schlund.net 20040611
source: RIPE
Le Fri, 25 Jun 2004 11:33:14 +0000, Toto a écrit :
Le probleme c'est que j'essaye de m'en sortir avec les patchs disponibles sur le net.
Mais c'est courir derrière. Prendre de l'avance, quand on le temps évidemment, est un plus.
ReferralServer: whois://whois.ripe.net:43 C'est pas ça ?
Si, mais je n'obtiens pas la même chose :
:~/Documents$ telnet whois.ripe.net 43 % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html
217.160.129.159 inetnum: 217.160.128.0 - 217.160.143.255 netname: SCHLUND-CUSTOMERS descr: Schlund + Partner AG descr: NCC#1999110113 country: DE admin-c: UI-RIPE tech-c: UI-RIPE remarks: INFRA-AW remarks: in case of abuse or spam, please mailto: rev-srv: nsa.schlund.de rev-srv: ns.schlund.de rev-srv: ns2.schlund.de status: ASSIGNED PA mnt-by: SCHLUND-MNT changed: 20040611 source: RIPE
role: Schlund NCC address: Schlund + Partner AG address: Brauerstrasse 48 address: D-76135 Karlsruhe address: Germany remarks: For abuse issues, please use only remarks: For NOC issues, please look at our AS 8560 phone: +49 721 91374 50 fax-no: +49 721 91374 20 e-mail: admin-c: SPNC-RIPE tech-c: SPNC-RIPE nic-hdl: UI-RIPE notify: mnt-by: SCHLUND-MNT changed: 20040512 source: RIPE
Connection closed by foreign host.
Voili.
-- printk("Illegal format on cdrom. Pester manufacturer.n"); 2.2.16 /usr/src/linux/fs/isofs/inode.c
db
Cedric Blancher wrote:
Le Thu, 24 Jun 2004 19:15:24 +0000, Toto a écrit :
Patch de sécurité, cataplasmes en tous genres...
OK
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont assez limitées
Typiquement, une injection SQL est le genre d'action qui ne peut pas être empêchée par application de patches de sécurité sur l'OS ou le serveur Web. Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader le truc, mais si c'est un site maison, il faut repasser sur le code.
Ca fait pourtant des siècles que l'on développe des sites et on en est
encore à ne pas filtrer les zones de saisie ! 20 ans en arrière sur les gros systèmes et même les minis (AS/400, Bull , etc) la définition d'écran permettait de spécifier le type de données pouvant être introduites. C'était le bon temps ... Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux BONNES pratiques que l'on n'aurait jamais dû oublier !
db
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI aurai pu les dissuader de recommencer...
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs source, tu peux remonter un abuse à leur FAI.
-- email : usenet blas net
Cedric Blancher wrote:
Le Thu, 24 Jun 2004 19:15:24 +0000, Toto a écrit :
Patch de sécurité, cataplasmes en tous genres...
OK
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection
sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont
assez limitées
Typiquement, une injection SQL est le genre d'action qui ne peut pas être
empêchée par application de patches de sécurité sur l'OS ou le serveur
Web. Il faut modifier le code des pages Web. Si tu as un site web basé
sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
le truc, mais si c'est un site maison, il faut repasser sur le code.
Ca fait pourtant des siècles que l'on développe des sites et on en est
encore à ne pas filtrer les zones de saisie !
20 ans en arrière sur les gros systèmes et même les minis (AS/400, Bull ,
etc) la définition d'écran permettait de spécifier le type de données
pouvant être introduites.
C'était le bon temps ...
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux
BONNES pratiques que l'on n'aurait jamais dû oublier !
db
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI
aurai pu les dissuader de recommencer...
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs
source, tu peux remonter un abuse à leur FAI.
Le Thu, 24 Jun 2004 19:15:24 +0000, Toto a écrit :
Patch de sécurité, cataplasmes en tous genres...
OK
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont assez limitées
Typiquement, une injection SQL est le genre d'action qui ne peut pas être empêchée par application de patches de sécurité sur l'OS ou le serveur Web. Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader le truc, mais si c'est un site maison, il faut repasser sur le code.
Ca fait pourtant des siècles que l'on développe des sites et on en est
encore à ne pas filtrer les zones de saisie ! 20 ans en arrière sur les gros systèmes et même les minis (AS/400, Bull , etc) la définition d'écran permettait de spécifier le type de données pouvant être introduites. C'était le bon temps ... Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux BONNES pratiques que l'on n'aurait jamais dû oublier !
db
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI aurai pu les dissuader de recommencer...
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs source, tu peux remonter un abuse à leur FAI.
-- email : usenet blas net
Alain Thivillon
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux BONNES pratiques que l'on n'aurait jamais dû oublier !
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on retombe completement dans le même problème.
Bon enfin je peux me tromper, je ne suis pas spécialiste des trucs que personne n'utilise dans la vraie vie:)
-- Nom d'un chat de nom d'un chat !
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux
BONNES pratiques que l'on n'aurait jamais dû oublier !
Vu que Xforms c'est sur le poste client, si on envoie du XML
directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on
retombe completement dans le même problème.
Bon enfin je peux me tromper, je ne suis pas spécialiste
des trucs que personne n'utilise dans la vraie vie:)
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux BONNES pratiques que l'on n'aurait jamais dû oublier !
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on retombe completement dans le même problème.
Bon enfin je peux me tromper, je ne suis pas spécialiste des trucs que personne n'utilise dans la vraie vie:)
-- Nom d'un chat de nom d'un chat !
Cedric Blancher
Le Fri, 25 Jun 2004 17:24:11 +0000, Alain Thivillon a écrit :
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on retombe completement dans le même problème.
Clairement. D'autant que les parsers XML sont assez basiques, du genre que ça les dérange pas de voir deux fois le même champ dans le flux XML.
Dans la vraie vie, y'a pas mal d'applications N-Tiers qui s'échangent des blocs de données XML pour leurs transactions.
-- Je propose que chacun de nous expose le problème (et dénoncent les fufeurs, cf liste des votants, ceux qui ont voté NNO sont les fufeurs) à son FAI. -+- Rocou In GNU - Comment tu écris Kommandantur ? -+-
Le Fri, 25 Jun 2004 17:24:11 +0000, Alain Thivillon a écrit :
Vu que Xforms c'est sur le poste client, si on envoie du XML
directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on
retombe completement dans le même problème.
Clairement. D'autant que les parsers XML sont assez basiques, du genre que
ça les dérange pas de voir deux fois le même champ dans le flux XML.
Dans la vraie vie, y'a pas mal d'applications N-Tiers qui s'échangent des
blocs de données XML pour leurs transactions.
--
Je propose que chacun de nous expose le problème (et dénoncent les
fufeurs, cf liste des votants, ceux qui ont voté NNO sont les fufeurs)
à son FAI.
-+- Rocou In GNU - Comment tu écris Kommandantur ? -+-
Le Fri, 25 Jun 2004 17:24:11 +0000, Alain Thivillon a écrit :
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on retombe completement dans le même problème.
Clairement. D'autant que les parsers XML sont assez basiques, du genre que ça les dérange pas de voir deux fois le même champ dans le flux XML.
Dans la vraie vie, y'a pas mal d'applications N-Tiers qui s'échangent des blocs de données XML pour leurs transactions.
-- Je propose que chacun de nous expose le problème (et dénoncent les fufeurs, cf liste des votants, ceux qui ont voté NNO sont les fufeurs) à son FAI. -+- Rocou In GNU - Comment tu écris Kommandantur ? -+-
Bon, maintenant que tout le monde connaît l'url de ton site troué, il faut que tu te dépêche de patcher ! ;)
db
Erwan David wrote:
Cedric Blancher écrivait :
Le Fri, 25 Jun 2004 17:24:11 +0000, Alain Thivillon a écrit :
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on retombe completement dans le même problème.
Clairement. D'autant que les parsers XML sont assez basiques, du genre que ça les dérange pas de voir deux fois le même champ dans le flux XML.
Dans la vraie vie, y'a pas mal d'applications N-Tiers qui s'échangent des blocs de données XML pour leurs transactions.
Y'a même des boites de recrutement qui demandent un CV en "HR-XML" et quipour ça demandent d'installer un soft windows dont on en sait absolement pas rien. Si, en outre, elles recrutent pour des boîtes de sécurité, c'est donc un
Le Fri, 25 Jun 2004 17:24:11 +0000, Alain Thivillon a écrit :
Vu que Xforms c'est sur le poste client, si on envoie du XML
directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on
retombe completement dans le même problème.
Clairement. D'autant que les parsers XML sont assez basiques, du genre
que ça les dérange pas de voir deux fois le même champ dans le flux XML.
Dans la vraie vie, y'a pas mal d'applications N-Tiers qui s'échangent des
blocs de données XML pour leurs transactions.
Y'a même des boites de recrutement qui demandent un CV en "HR-XML" et
quipour ça demandent d'installer un soft windows dont on en
sait absolement pas rien.
Si, en outre, elles recrutent pour des boîtes de sécurité, c'est donc un
Le Fri, 25 Jun 2004 17:24:11 +0000, Alain Thivillon a écrit :
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., si l'appli ne vérifie pas, on retombe completement dans le même problème.
Clairement. D'autant que les parsers XML sont assez basiques, du genre que ça les dérange pas de voir deux fois le même champ dans le flux XML.
Dans la vraie vie, y'a pas mal d'applications N-Tiers qui s'échangent des blocs de données XML pour leurs transactions.
Y'a même des boites de recrutement qui demandent un CV en "HR-XML" et quipour ça demandent d'installer un soft windows dont on en sait absolement pas rien. Si, en outre, elles recrutent pour des boîtes de sécurité, c'est donc un
excellent avantage que de refuser leur soft.
db
Pour la sécurité on repssaera...
-- email : usenet blas net
db
Alain Thivillon wrote:
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux BONNES pratiques que l'on n'aurait jamais dû oublier !
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., J'ai parlé de XForms comme j'aurai pu parler d'un quelconque framework
tartampion. Mais bon, dans la mesure où XForms est sensé devenir un standard et prévoit, si je ne m'abuse, le contrôle des zones de saisies ce serait dommage de ne pas en profiter. C'est en principe plus simple de préciser que telle zone est purement numérique ou alpha que de développer le code pour rendre ces zones uniquement numérique ou alpha.
si l'appli ne vérifie pas, on retombe completement dans le même problème. Si je ne vérifie pas que la porte de mon appart est fermée personne ne le
fera pour moi c'est vrai.
Bon enfin je peux me tromper, je ne suis pas spécialiste des trucs que personne n'utilise dans la vraie vie:) On m'a écrit la même chose il y a 5 ans au sujet d'XML :-)
Dans la vraie vie, 95% des sites (en nombre) ne vérifie pas les données introduites. C'est quasiment criminel pour certains d'entre eux et une certaine forme de régression de mon point de vue. Alors, avec XForms, on peut se permettre de rêver un peu non ?
db
-- email : usenet blas net
Alain Thivillon wrote:
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux
BONNES pratiques que l'on n'aurait jamais dû oublier !
Vu que Xforms c'est sur le poste client, si on envoie du XML
directement au serveur par PUTP/POST/...,
J'ai parlé de XForms comme j'aurai pu parler d'un quelconque framework
tartampion.
Mais bon, dans la mesure où XForms est sensé devenir un standard et prévoit,
si je ne m'abuse, le contrôle des zones de saisies ce serait dommage de ne
pas en profiter. C'est en principe plus simple de préciser
que telle zone est purement numérique ou alpha que de développer le code
pour rendre ces zones uniquement numérique ou alpha.
si l'appli ne vérifie pas, on
retombe completement dans le même problème.
Si je ne vérifie pas que la porte de mon appart est fermée personne ne le
fera pour moi c'est vrai.
Bon enfin je peux me tromper, je ne suis pas spécialiste
des trucs que personne n'utilise dans la vraie vie:)
On m'a écrit la même chose il y a 5 ans au sujet d'XML :-)
Dans la vraie vie, 95% des sites (en nombre) ne vérifie pas les données
introduites.
C'est quasiment criminel pour certains d'entre eux et une certaine forme de
régression de mon point de vue.
Alors, avec XForms, on peut se permettre de rêver un peu non ?
Enfin, espérons qu'avec des initiatives comme XForms on en revienne aux BONNES pratiques que l'on n'aurait jamais dû oublier !
Vu que Xforms c'est sur le poste client, si on envoie du XML directement au serveur par PUTP/POST/..., J'ai parlé de XForms comme j'aurai pu parler d'un quelconque framework
tartampion. Mais bon, dans la mesure où XForms est sensé devenir un standard et prévoit, si je ne m'abuse, le contrôle des zones de saisies ce serait dommage de ne pas en profiter. C'est en principe plus simple de préciser que telle zone est purement numérique ou alpha que de développer le code pour rendre ces zones uniquement numérique ou alpha.
si l'appli ne vérifie pas, on retombe completement dans le même problème. Si je ne vérifie pas que la porte de mon appart est fermée personne ne le
fera pour moi c'est vrai.
Bon enfin je peux me tromper, je ne suis pas spécialiste des trucs que personne n'utilise dans la vraie vie:) On m'a écrit la même chose il y a 5 ans au sujet d'XML :-)
Dans la vraie vie, 95% des sites (en nombre) ne vérifie pas les données introduites. C'est quasiment criminel pour certains d'entre eux et une certaine forme de régression de mon point de vue. Alors, avec XForms, on peut se permettre de rêver un peu non ?
