Salut à tous j'aimerai avoir quelques conseils pour sécuriser un site en php.
   Ce site est hébergé chez free et je viens de subir un hack, rien de bien méchant à priori (changement page d'accueil) mais apparement y a une faille.  
    Pour info j'ai changé mon mdp base sql et accés espace perso. Mais j'aimerai savoir si il y aurait quelque chose à faire pour sécurisé un peu plus le site car si cette fois ils n'ont rien détruit à priori rien ne dit qu'ils ne vont pas recommencer et avec plus de dégats.
   
           Merci d'avance  

ENVOI LE LIEN §§§
 
On se fera un plaisir de chercher la faille

On se connaîtrai un peut mieux je l'aurai probablement fait.  
   Mais je sais pas pourquoi d'un seul coup je suis devenu méfiant.
  Pour ton information ils ont juste introduit un index.html qui a pris le pas sur l'index.php mais comment that's the question ??

Ben sans voir le site justement, on ne peut strictement rien faire Il faut deux choses : soit un lien vers le site pour qu'on puisse trouver, soit le code source complet pour analyse. Sans ça, on ne pourra pas t'aider...

FlorentG, tu peux lui faire confiance, il m'a justement aider à corriger une faille de mon site.
 
Moi aussi tu peux me faire confiance, mais de toutes façons, je suis incapable de trouver la moindre faille, trop la flemme.
 
Disons que comme conseille pour protéger un site web, il y a quelques règles de base à entrer dans sa tête.
La première, ne jamais faire confiance aux entrés utilisateurs.
Tout ce que l'utilisateur entre et que tu récupères, tu parses, mysql_real_escape_string si ça va dans une base de donnée, getimagesize si c'est une image pour vérifier que c'est bien une image, etc.

Voilà, sur ce topic, on a trouvé plein de faille, mais on n'a rien fait de méchant

Parle pour toi, y'a quand même un p'tit malin qui ma vider ma table des smileys    
Même si c'était pas une erreur de script.  

Allez soyons fou, croyons en la bonté et la fraternité humaine enfin faux se faire violence quand même ^^ avec ce qui vient de m'arriver.
http://guildebbkc.free.fr/  
 
  Pour info nous sommes 2 à administrer le site et personne d'autres que nous n'a accés à la base de donnée et bien que ce soit possible personne n'upload d'image sur le site car je n'ai pas donné les droits.  
  Voili voilou et si je me retrouve avec une page d'accueil quelque peut chantée je saurai ou venir raler.

ça commence mal.
 

Je viens de voir ça. Je pige pas.

Vérifie, ton pass MySQL a l'air d'avoir été modifié.
Faut savoir si c'est le pass de ta base, ou le pass dans ton script qui a été modifié (/var/www/sdb/a/3/guildebbkc/fonctions.php on line 314)
 
Si c'est dans le script, soit y a une faille violente (perso j'en connais pas pour modifier le script d'un site, mais jsuis pas un pro), soit c'est qqn qui a un accès ftp à ton site : ton pote.
 
Et je parierais la dessus (ça me fait penser au communiqué de l'exploitant d'un jeu qui t'expliquait que dans 90% des cas c'était ton pti frère ou ton meilleur pote qui te carottait ton pass   )

Ah ouais là, c'est loupé, le gars a modifié le mot de passe de connexion Et du coup, on n'a pas accès à grand-chose, ça sera toujours aussi difficile de trouver d'où ça vient

Pb réglé comme vous vous en doutiez c'était mdp db que j'avais changé ^^. Pas eu le temps de voir ça hier soir dsl.
  Vous pouvez aller farfouiller maintenant.
  Merci d'avance pour vos suggestions.

http://guildebbkc.free.fr/phpRaid/
t'as le mot de passe bdd à régler là aussi.
Est ce que t'as vérifier les alertes de sécurités des éléments que vous avez récupérer ailleur?

perso j'arrive pas à faire de sql injection dans ta page admin, c'est déjà bon signe .

1 faille XSS trouvée, affichage de document.cookie :  
http://guildebbkc.free.fr/catscree [...] /script%3E
 
et heureusement que tes magic_quote ont l'air activés spour ça que le SQL injection marche pas ^^
En plus on peut voir certaines requêtes sql, ce qui aide bien quand on veut te pirater :  
http://guildebbkc.free.fr/roster/index.php?pguild='
 
Ici t'as du oublié un htmlentities sur l'affichage de l'id du membre, ça fait afficher des trucs qui devraient pas. Là c'est pas grave, mais un de ces 4 ça sera ptet tout ton code PHP qu'on arrivera à faire afficher
http://guildebbkc.free.fr/roster/c [...] er_id='%3E
Et c'est pas une faille, mais ça bug si tu fais ça : http://guildebbkc.free.fr/roster/char.php?member_id=1

http://guildebbkc.free.fr/roster/i [...] /script%3E

Ah merde voilà pourquoi ça marchait pas chez moi, j'ai pas mis les bons trucs pour escaper les < et >

huhu, tu devais être déçu
par contre, à moins de lui avoir envoyé un lien pour exploiter la faille XSS, j'ai pas trouvé comment le hacker avait fait pour upload des images etc.

J'ai fait le nécessaire pour PHP RAID.
  Si on pouvait me faire un résumé de ce que vous avez remarqué et si vous avez un début d'explication sur la méthode employée pour arriver à mettre un index.html sur l'espace perso.
   Les failles que vous avez repéré constituent-elles un risque important ? et si oui un début de méthode pour y remedier ?
    Merci d'avance

la principale faille, c'est les failles XSS, qui permet de faire exécuter du javascript. Je t'envoie un lien trafiqué, et hop, je récupère ton ID de session, je me connecte sur le site en tant qu'admin.
Pour corriger cette faille, il te faut utiliser htmlentities sur toutes les variables récupérées de l'utilisateur que tu utilises pour générer ton html. Par exemple faut pas faire  
echo $_GET['variable'];
mais :  
echo htmlentities($_GET['variable']);
 
On ne pourra plus faire exécuter de javascript.
D'une manière générale, il faut toujours se méfier de ce qui vient de l'utilisateur, et partir du principe que ton utilisateur est malveillant.
 
On voit que souvent tu utilises les variables utilisateurs telles qu'elles sont, par exemple dans la page pour voir les images, on peut mettre ce qu'on veut dans la variable, on voit que ça l'affiche, et ça cherche un répertoire correspondant, etc. Vaut mieux faire un switch sur la variable pour n'autoriser que certaines valeurs, et pas n'importe lesquelles.
Là, heureusement que tu as les magic quote activés, sinon tu serais dans une grosse merde  pour tes requêtes sql :x
 
Pour ce qui est de changer l'index du site, moi je pense que tout connement qqn a tes logins pour accéder au ftp. Ton pote les a ptet laissé trainer, vous les avez ptet laissé sur un mail, etc, etc.

Ok merci pour tout ces conseils on va se pencher sur la question.
  Encore merci.

Bonjour, mon site vient de se faire hacké.
Ils ont modifié la page d'accueil mais je ne sais pas comment ils ont fait...
Un peu d'aide serait la bienvenue sachant que pendant des années, tout s'était bien passé jusqu'à ce que je mette un fichier .htaccess pour protéger un répertoire

Salut,
Crée un sujet à toi déjà ce sera mieux et sans adresse/code on peut pas trop t'aider...