Hack formulaire d'envoi de mail

rafgi · Inscrit le: 14 Mar 2008 Messages: 7 Localisation: Montbéliard

Bonsoir,

J'ai eu un petit soucis rien de bien méchant :

J'ai réalisé un site web avec un formulaire de contact en html qui envoie les variables en POST à un script PHP pour qu'un internaute envoie un mail à l'entreprise.

Le problème est que il y a 2 jours ce site a été hacké :
création de nombreux fichier html à la racine et d'un dossier avec d'autres fichier html. Et du code avec de nombreux liens a été inséré dans mes pages html d'origines.

J'ai trouvé le problème : mes champs ne sont pas sécurisé contre l'injection de code par des htmlentities par exemple.

Mais ce que je veux savoir c'est comment le hacker a fait, par curiosité et pour mieux sécuriser ce site.

Merci d'avance pour vos réponses.

PS: la page concernée est http://www.vivierdemaisons.com/contact.html
et je n'ai pas encore pris les mesures pour le protéger pour que vous testiez vous même (j'ai fait une sauvegarde, mais éviter de tout supprimer Wink

)

Celelibi · Inscrit le: 29 Mar 2006 Messages: 770

À priori ce n'est pas une XSS puisque tu ne réaffiche aucune donnée, et de toutes façons si tu récupère explicitement tes variables dans $_POST l'exploitation d'une XSS risque d'être tendue.

Sinon, si ton script envoie bien un mail, il y a toujours l'injection de header.
Il est par exemple possible en bidouillant l'adresse mail source de rajouter une adresse mail en CC ou CCi et donc d'obtenir une copie du mail envoyé avec les headers etc...

À part ça je vois rien d'autre sur ce formulaire.
_________________
Il y a un boulet qui sommeille en chacun de nous. (enfin, surtout vous...)

rafgi · Posté le: Ven Mar 14, 2008 2:52 pm | Sujet du message:

Ce qui me parait bizarre c'est qu'il n'a envoyé aucun message mais qu'il a réussi a modifier et créer des fichiers sur le serveur.

Il m'a fait ca sur deux sites dont l'autre n'a que le formulaire de contact en php.

Donc je suppose que la faille vient de la ? j'ai cherché sur internet mais je ne comprend pas comment il a pu créer ces fichiers.

Sinon par quel moyen peux t'il créer ses fichiers?

Celelibi · Inscrit le: 29 Mar 2006 Messages: 770

Ça me paraîtrait assez chaud qu'il ait pu exploiter une faille dans ce script sans soumettre une seul fois le formulaire.

Moi je dirais que la vérité est ailleurs.
_________________
Il y a un boulet qui sommeille en chacun de nous. (enfin, surtout vous...)

rafgi · Posté le: Ven Mar 14, 2008 4:58 pm | Sujet du message:

Le truc c'est que j'ai vu aucun mail suspect (même aucun mail tout court...).
m'enfin le truc qui me turlupine c'est comment il a fait Confused

. car si c'est pas le formulaire, je peux toujours le protéger ça changera pas grand chose au problème...
pourrais tu me lister par quel moyen il aurais la possibilité de modifier et créer des fichiers sur le serveur?

(un bot ou script peut il s'attaquer au login et mot de passe nécessaire pour l'accès à un dossier protéger par un .htaccess ?)

Celelibi · Inscrit le: 29 Mar 2006 Messages: 770

Via le ftp ? Tes mots de passes sont sécurisés ?
Quels autres daemons tournent sur le serveur ?
_________________
Il y a un boulet qui sommeille en chacun de nous. (enfin, surtout vous...)

rafgi · Posté le: Ven Mar 14, 2008 6:06 pm | Sujet du message:

se sont des serveurs mutualisés sur OVH et les mots de passe sont ceux définit par OVH donc niveaux sécurité ça me parait bon.
quand au daemons qui tournent la tu me pose une colle:
je ne sais pas comment y accéder

sinon pour la question sur les .htaccess, a t'il pu trouver les codes en les testant ou en utilisant un bot ou je m'inquiète pour rien?

Celelibi · Inscrit le: 29 Mar 2006 Messages: 770

Oui, c'est possible qu'il ait trouvé le mot de passe d'un htaccess si le mot de passe est trop faible.

Mais là tu es en train de dire qu'il n'y a pas que le formulaire sur ton site...
_________________
Il y a un boulet qui sommeille en chacun de nous. (enfin, surtout vous...)

rafgi · Posté le: Ven Mar 14, 2008 10:01 pm | Sujet du message:

oui il n'y a pas que le formulaire de contact.

il y a une section administration protégée par un .htaccess
qui contient des formulaire d'upload d'images qui ne doivent par être protégé sur l'extension du fichier et des formulaires d'ajout, modification et suppression d'annonces (les annonces sont sur une BDD) mais niveau protection c'est au raz des pâquerettes vu que l'accès est protégé...

donc en gros tu me conseillerai de bétonner la sécurité de l'administration même si c'est protéger ? ou alors augmenter la sécurité du mot de passe ?(je sens que je vais avoir du boulot en perspective... Shocked

)

Mais si il m'a dans le collimateur, il pourra toujours trouver les mots de passe Sad

Edurion · Inscrit le: 27 Aoû 2007 Messages: 22

Si tu es protéger par un htaccess, il faudrait que tu fasse un "deny for all" dans ton fichier.

Sinon, vu la description que tu donne, une faille upload est peut-être une possibilité. Il suffit qu'il exécute un script php créé par ses soins, et il peut modifier toutes les données présentent sur ton site...

P.S.: Celelibi, corrige moi si je dis des bétises...

rafgi · Posté le: Sam Mar 15, 2008 1:58 pm | Sujet du message:

donc faire par exemple un deny form all et autoriser certaines IP ? (on est deux à accéder au dossier d'admin: moi et le proprio du site)
et la il ne pourra rien faire ? ou du moins ça va lui compliquer le travail... Twisted Evil

Celelibi · Inscrit le: 29 Mar 2006 Messages: 770

En regardant juste comme ça, tu as une xss dans les équipements_produits.
Et tu as un vieux bug qui apparaît quand on tente d'accéder à un fichier php avec une url qui ressemble à un répertoire. Par exemple www.blah.com/equipements_produits/
Il me semble que ce bug permet de bypasser les htaccess.
Ce bug est connu depuis au moins 2003. J'ai eut le même (chez ovh aussi).

Sinon, regarde si t'as pas un truc genre un local include. C'est à dire un include qui permettrait d'include des fichiers locaux à ton site.
Les htaccess ne permettent que de restreindre la réponse à une requête donnée. Un script php est un petit programme lancé sur le serveur, il a rien a foutre des fichiers .htaccess .

Sinon, un accès au code source ça aiderait bien.
_________________
Il y a un boulet qui sommeille en chacun de nous. (enfin, surtout vous...)

rafgi · Posté le: Sam Mar 15, 2008 5:05 pm | Sujet du message:

effectivement je viens de vérifier en insérant du javascript. mais peut on créer des fichiers ou en modifier sur le serveur par cette faille ?

pour le bug je viens de voir mais ça revient au même que la faille au dessus ?
ou cela donne des possibilité en plus?

au niveau des include y'en a mais c'est pour inclure les identifiant de connexion à la BDD et je spécifie le chemin directement dans le code sans variable? y'a t'il des possibilités aussi ici?

sinon je t'envoie les liens pour télécharger les sources par MP

merci de votre aide.

Celelibi · Inscrit le: 29 Mar 2006 Messages: 770

aujourd'hui, 20h42 sur http://90plan.ovh.net/ on peut y voir http://img168.imageshack.us/my.php?image=ovhhackedbm7.png
_________________
Il y a un boulet qui sommeille en chacun de nous. (enfin, surtout vous...)

Apophis1988 · Inscrit le: 05 Aoû 2007 Messages: 69

Heu... c'est quoi ce delire? lol