Piratage...Résolu

Question

Bien le bonjour, je m'adresse à vous car j'ai été la victime de piratage, et  j'aurais aimé que l'on m'aide sur certains points, ou que l'on m'explique certaines choses...

Je travaille actuellement sur un site, sur ce site l'on peu s'enregistrer, à chaque enregistrement, je sauvegarde les infos, et envoie un email de confirmation et avec un lien pour la validation du compte, tous les jours je ragarde le nombre d'inscrits, et aussi le nombre d'inscrits qui n'on pas validés, je suis normalement à une moyenne de 30 inscription non validées, et aujourd'hui j'en ai eu 2302 exactement, j'ai donc regardé les inscriptions et me suis rendu compte que c'était des lignes de code SQL ou des noms de fichiers...

J'ai réussi à récupérer des adresses IP :
213.11.125.9
82.63.214.33

Ce sont les deux plus récurentes, et à elles deux elles totalisent plus de 60% des fausses inscriptions...J'ai regardé les infos whois mais je ne suis pas très compétent dans le dommaine... qulequ'un pourrait'il m'aider ?

Voici un exemple de lignes de codes qui on été testés... :

UNION SELECT OtherField FROM OtherTable WHERE 1=1 

C'est du sql mais je ne sais pas trop ce que cela veux dire
Sinon on peux voirs qu'il a éssayer de faire planter le php avec cette syntaxe ");  

Il y avais aussi ca : 
/* 
c:\boot.ini
/../../../../../../../../../../../../../../../../../../../../boot.ini 
/../../../../../../../../../../../../../../../../../../../../config.sys
/../../../etc/passwd
/.../.../.../.../.../.../boot.ini
/.../.../.../.../.../.../config.sys 
/."./."./."./."./."./boot.ini 
/."./."./."./."./."./config.sys 
/....../config.sys
/..../config.sys
../../../../../../../../../etc/passwd\0
/etc/passwd\0
`/etc/passwd`
....//....//....//....//....//....//....//etc.passwd 

etc etc etc..... j'ai 2302 lignes comme ca si ca intéresse quelqu'un ;)

J'aimerais savoir si quelqu'un peux m'aider à retrouver la personne en question, et aussi savoir à quoi correspondent en gros ces requetes et la requete SQL... Je pense que c'est pour avoir m database, mas je ne suis pas sur...

Merci d'avance

malalam · Accepted Answer

Hello,

bah chais pas si il a oubli&#233;...mais en tous cas, ils ont test&#233; des injections sql (pour voir justement si tu t'en pr&#233;munis correctement), et ils ont test&#233; des acc&#232;s au serveur divers et vari&#233;s.


Je ne pense pas qu'ils aient fait &#231;a &#224; la mano...ce doit &#234;tre un robot, alors pt&#234;te que tu devrais simplement rajouter une protection de ton formulaire d'inscription par pictogramme, d&#233;j&#224;, des fois qu'ils y reviennent.
Et oui, v&#233;rifie que tu checke bien toutes les saisies utilisateurs, que tu les &#233;chappes, etc...

coucou747 · Answer

Salut,

WHERE 1=1 est inutile...



pour ton fichier, explique mieux &#224; quoi il correspond stp...



sinon, fais une image pour valider l'inscription : recopiez le code qui est incrit ici...

In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

WhiteDwarf · Answer

En fait la ligne : 

UNION SELECT OtherField FROM OtherTable WHERE 1=1 

C'estun truc qui a été tappé dans la page d'inscription... je sas que c'est du SQL mais je ne sais pas du tout ce que cela veux dire

FhX · Answer

Bah c'est simple ==> t'as oubli&#233; l'&#233;chappement des charact&#232;res :

mysql_real_escape_string() si c'est une base MySQL
Les m&#234;mes fonctions existent pour les autres DB.... suffit de regarder !

WhiteDwarf · Answer

Comme le dis malam, je n'ai pas oubli&#233;, j'ai prot&#233;g&#233; mon site de ce genre de syntaxes, par contre, malam est-ce que tu saurais de me dire quel serait le rendu de cette ligne de commande sql ?

Sinon y'a pas un autre moyen de prot&#233;ger le site ? je pensais peut &#234;tre &#224; un nombre d'acc&#232;s restrein par secondes, mais cela veux dire une nouvelles BDD (je pense &#224; ca car j'ai m&#233;ta le log depuis hier soir et j'ai constat&#233; qu'il ya eut plus de 3763 essais diff&#233;rents provenants de la m&#234;me ip en quelques 15mn)...

En tout cas merci pour vos r&#233;ponses... 


PS : Sinon quel serait le meilleur whois a consulter pour obtenir des infos sur cette ip ? et quelles sont les lois de l'informatique conscernant ce type de piratage ? En effet le site dont je parle est celui d'une entreprise qui ne saurais laisser passer ce genre d'actions puisqu'elle garanti la confidentialit&#233; des informations qu'elle garde...


---------------------- 
La lumi&#232;re &#233;tant plus rapide que le son, un homme peu para&#238;tre brillant avant qu'il se mette a parler 
-----------------

malalam · Answer

Je t'ai dit, ils passent par le formulaire ? Prot&#232;ge donc le formulaire avec un pictogramme.
Le rendu de quoi ? de &#231;a :
UNION SELECT OtherField FROM OtherTable WHERE 1=1 
?
Ils essayent juste d'avoir une requ&#234;te qui renverra toujours true. Donc qui sera juste...et qui avec un peu de chance, renverra par exemple ta table user, avec les droits admin dedans.
Pas avec CETTE requ&#234;te hein, l&#224; ils testaient la r&#233;action de ton script php.

WhiteDwarf · Answer

OK va pour le pictogramme, j'aurais pr&#233;f&#233;r&#233; autrement mais c'est pas grave, merci du conseil, et merci pour l'interpr&#233;tation de la ligne mySQL


---------------------- 
La lumi&#232;re &#233;tant plus rapide que le son, un homme peu para&#238;tre brillant avant qu'il se mette a parler 
-----------------

WhiteDwarf · Answer

Derni&#232;re petite question : Quelles sont les principales fa&#231;ons par lesquelles je peu prot&#233;ger l'acc&#232;s &#224; ma base de donn&#233;e &#224; partir du php ?

Merci encore 


---------------------- 
La lumi&#232;re &#233;tant plus rapide que le son, un homme peu para&#238;tre brillant avant qu'il se mette a parler 
-----------------

coucou747 · Answer

Salut,

 : [auteurdetail.aspx?ID=2227 WhiteDwarf]
, vas sur mon site web, partie php, balade toi sur les diff&#233;rents mois,
et vas voir dans la liste de mes sources, tu as un peu de doc l&#224;
dessus... je te conseille aussi le misc de ce mois...



http://coucou747.hopto.org/pages_4_02-2006.html
http://coucou747.hopto.org/pages_4_11-2005.html

http://coucou747.hopto.org/pages_4_10-2005.html

http://coucou747.hopto.org/pages_10_02-2006.html



&#224; propos de la s&#233;curit&#233; sous PHP, s&#233;curit&#233; en g&#233;n&#233;ral, r&#232;gles de
codages ect... je ne parles pas que de la s&#233;curit&#233; en php-mysql...




In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy

Mon site (articles sur la programmation et programmes)

WhiteDwarf · Answer

Je vais jeter un oeuil, merci beaucoup a toi coucou747, ainsi qu'a malalam... et aux autres qui participent tous les jours &#224; remplir ce site de bonnes sources (autres que les calculatrices sur vbfrance, et les galeries d'images et autre d&#233;ja vu sur phpcs... )


---------------------- 
La lumi&#232;re &#233;tant plus rapide que le son, un homme peu para&#238;tre brillant avant qu'il se mette a parler 
-----------------

Piratage...

10 réponses

Votre réponse

Discussions similaires