Injection code

[passion]

Salut,

Je sais qu'il n'est pas cool de faire de la descrimination mais là, c'est justifié !!

Sur un de mes sites, j'ai un gros intelligent qui a essayé d'injecter du code via url, visible ici:
Http://www.005flower.co.kr/item/vusazam/ucuk/
et deuxième tentative ici:
Http://www.salva-sebastien.de/galerie/l ... giga/mefu/

Par ces urls, j'ai tous les éléments qu'il me faut pour le contacter... je lui fais la misère?
A votre avis.... qu'est-ce que je fais?

 

[zeb]

j'ai eu des truc dans le genre (j'en aurais sûrement d'autres).
Perso je cherche surtout a tirer les conclusions et a me préserver pour la suite.

En revanche si on devait coller tous les C_N contre un mur, il n'y aurais (dans un premier temps et a terme) plus de chaumage.

Si il a un site tu peux aussi lui sortir le panel des misères en ta possession mais bon ...

 

[padawan2]

Tu ne devrais pas te priver de lui faire regretter ce qu'il a essayé de faire... ça en fera toujours un de moins.

 

[passion]

Ouais disons que je la joues fairplay !
Je suis entrain de contacter leur hébergeur. Je pense qu'au niveau préventif, cela devrait les étonner que des remontées ont pu se faire!

Mais par contre, j'ai plus de mal pour trouver l'hébergeur de ce site koréen:
-Http://www.005flower.co.kr/
Vous pourriez m'aider à trouver son hébergeur?

Merci de votre participation!

 

[lothar]

Vu ça dans le WHOIS:

IP Address: 58.103.130.65
IP Location Korea, Republic Of - Kyonggi-do - Seoul - Sknetworks-lline-newrun-system

http://whois.domaintools.com/58.103.130.65

Tu auras les coordonnées de l'hébergeur.

 

[passion]

merci lothar ...

 

[passion]

Euhhh.....
Y'a un soucis là....
Je viens d'évoir encore d'autres tentaives sur le même principe....
Http://oxymaster.net/pr_images/tap/uyo/
Http://www.blankner.ocps.net/media/imag ... em/akaruv/

C'est quoi ce bordel !!! :evil:
Le fairplay, je sens que je vais le mettre de côté !!

 

[Topsitemaker]

Bonjour Passion,

Es-tu sûr que les tenants des sites en question sont responsables ? Ne sont-il pas hackés ?
Pour les injections SQL, si ton code est blindé avec des quotes et des guillemets, il ne devrait pas avoir de soucis.

Pour les injections d'instructions de téléchargement style wget, curl,... restreint leurs permissions à root si tu es en dédié.
Blindes la config de open_basedir et disable_functions dans ton php.ini .

 

[rog]

les trojans php sont hébergés sur des servers hackés

en l'occurence c'est pas un trojan mais un code pour tester si ta page est vuln

la syntaxe de ton url doit etre référencés dans une liste google dorks

le dossier gallerie doit être responsable

rog

 

[Dan_A]

Le plus probable, c'est une activité de botnet :
https://www.google.fr/search?hl=fr&q=zombie+botnet
http://www.vnunet.fr/fr/news/2007/11/22 ... _kaspersky
J'ai jusqu'à 3000 visites par jour, les ordinateurs infectés sont souvent bloqués après quelque temps. Ils recherchent les vulnérabilités connues des CMS dans toutes les langues.
Comme je n'utilise pas de CMS, il me suffit de bloquer toutes ces requêtes...

 

[C!d]

ce type d'attaque et de test de vulnérabilité, j'en compte au moins 5 par jour sur mon réseau de sites

c'est fait automatiquement par des robots

si ton site est bien programmé, ça ne provoquera jamais rien

 

[passion]

Merci pour ces retours...

Ouais... normalement, il est bien blindé contre les attaques extérieures mais c'est toujours inquiètant !

 

[zeb]

mais c'est toujours inquiétant !

et formateur, ce qui ne te tue pas te rend plus fort.

 

[rog]

pas si sur

y a une faille dans une fonction php qui rendrait la moitié des sites vulnerables

rog

 

[passion]

En tout cas, j'avais contacté l'hébergeur d'un des sites (allemand) et ils m'ont répondu qu'ils avaient effectivement fait le necessaire (suppression du fichier, répertoire et alerter le client)
Bravo trés rapide...

 

[Dan_A]

Bravo trés rapide...

C'est un problème qui ne peut pas être pris à la légère : plusieurs millions de sites infectés (FBI 13 juin 2007), d'hébergeurs qui ne mettent pas à jour Apache, PHP, ASP, MySQL ..., de webmasters qui ne mettent pas à jour leur CMS, de visiteurs qui ne mettent pas à jour leur navigateur...
Chaque jour, c'est plusieurs centaines d'adresses de nouveaux sites infectés que je pourrais signaler.
Les pirates ont de beaux jours devant eux.

 

[rog]

http://www.hardened-php.net/advisory_132006.138.html

rog