demande d'aide contre hacking de site - PHP - Programmation
Marsh Posté le 10-10-2011 à 15:45:04
Si on a pas acces au code, c'est pas facile de deviner où se trouve la faille...
Marsh Posté le 10-10-2011 à 16:57:39
Ya des injection SQL qui sont facil a faire par ici :
http://lamaisondesenseignants.com/ [...] %27test%27
J'ai tenté de faire aussi un truc avec des update, mais je suis pas encore assez bon
http://lamaisondesenseignants.com/ [...] 20nom=1%29
Si ya des specialiste SQL qui peuvent m'aider
Marsh Posté le 10-10-2011 à 17:21:54
Merci pour les coups de main les zamis
Pour donner accès au code, donner l'url ne suffit pas ? Que puis-je faire d'autre ? (désolé si c'est stupide comme questions)
Là j'essaye déjà de récupérer un accès admin
Marsh Posté le 10-10-2011 à 17:26:19
Je tente de faire des trucs avec ton site, mais j'ai un peu de mal, sinon le mec a fait des update pour mettre a jour les pass etc etc, va dans ta BDD puis met a jour toi meme les trucs.
Marsh Posté le 10-10-2011 à 17:56:35
Oui c'est ce que je fais, faut juste que je trouve où ils sont stockés, ce que je ne sais pas, n'ayant pas créé le site moi-même.
Marsh Posté le 10-10-2011 à 18:08:49
Faut que t'aille la : http://lamaisondesenseignants.com/phpmyadmin/
Marsh Posté le 10-10-2011 à 19:32:21
Je dirais de désactiver les REGISTER_GLOBALS dans le php.ini, de désactiver allow_url_include dans le php.ini, faire des inclusions de fichier uniquement en liste blanche, échapper tes paramètres requête MYSQL (mysql_real_escape_string, PDO), mettre à jour ton apache (le fameux bug des multiple ranges qui nique tout)... le blabla habituel, quoi !
Marsh Posté le 11-10-2011 à 11:46:16
Merci bcp pour votre aide !
J'ai réussi à reprendre la main sur l'admin, là je corrige les failles.
Apparemment mon prédécesseur ne s'étai pas trop fait ch... à sécuriser le site
Marsh Posté le 11-10-2011 à 16:21:21
Suite de l'histoire
Le créateur du site l'a conçu de telle manière que register_globals doit forcément être on pour que ça marche
je vais devoir tout me taper à reprogrammer
Marsh Posté le 12-10-2011 à 11:48:52
Le gros boulet!!! Bon courage
Marsh Posté le 10-10-2011 à 12:10:27
Salut à tous,
Voilà, je m'occupe pour le boulot d'un site assez important en taille, qui a été conçu il y a plusieurs années par un gars avec qui nous n'avons plus aucun contact. N'ayant pas conçu le site, je ne maîtrise pas toutes les subtilités du code.
Ce week end nous avons été hackés par un petit **** de **** de sa **** qui m'a changé des éléments s'affichant sur la page d'accueil et d'autres pages, et a changé les mots de passes admin
Je pense qu'il doit y avoir une faille dans le code php, car il n'a changé que des variables php qui peuvent être modifiées avec l'interface admin.
Quelqu'un pourrait-il me donner un coup de main pour trouver la faille ? Je ne suis pas spécialiste en la matière ...
L'adresse du site : http://www.lamaisondesenseignants.com/index.php (j'ai mis un index.html provisoire pour les utilisateurs).
Merci bcp !