Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !

  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !

  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » [Résolu] - admin.php : une idée de solution
2 pages [ 1 | 2 ]
Auteur[Résolu] - admin.php : une idée de solution
developpeur
24581       
 

developpeur
  Posté : 27-11-2003 21:50

le patch actuel à ses limites, il faut donc trouver une solution définitive.

Hors NPDS ne peut pas être completement ré-écris sous prétexte de l'admin.php de certains CMS est au format gruyère ...

Il faut une solution avec comme idée est de faire encore plus "secure" donc :
=> un script qui permette de modifier pour chaque site :
- le nom du fichier admin.php
- le nom du fichier config.php
- de recoder en dur (donc directement dans les fichiers) ces informations

=> ce script serait autonome de NPDS, applicable sur toute les versions 4.8-P2 et +

Voila l'idée, reste à le coder ce truc ...

A suivre donc
  Profil  E-mail  www  
Patrick
1119       
 

Patrick
  Posté : 27-11-2003 22:32

Moi je le sens bien... pour demain matin !
Non, sans rire, je crois effectivement que NPDS soit s'affranchir de ses pères pour se mettre à l'abri des beaux-fils rénégats. Il est en tous cas inacceptable que toute une communauté soit rejetée sur base d'une attaque qui, apparemment, n'est pas particulièrement concentrée sur elle. En font les frais le sites dénués de tout intérêt commercial, encore une fois, pour protéger les autres. Et c'est normal et humain, et business oblige... impératif.
Mais bordel de merde...
  Profil  www  
serge81
5  

serge81
  Posté : 27-11-2003 22:40

Question : suffit-il de renommer "admin.php" en "autrechose.php" pour contourner les dispositions de OVH ?
Car si c'est le cas il suffit de coder un script "scan_and_replace.php" qui automatiquement va s'en charger en scannant tous les fichiers de NPDS et en procédant au remplacement. En somme un patch automatique...
Ou bien j'ai pas bien compris?...
  Profil  
cheevass
65    

cheevass
  Posté : 27-11-2003 23:11

faudrais t'il carement pas changer d'hebergeur ? c'est peux etre plus simple encore, non ?
  Profil  E-mail  www  
Anonyme
19853  

Anonyme
  Posté : 28-11-2003 11:07

Ouais, mais finalement en changeant d'hébergeur, tu ne fait que déplacer le problème. Le trou phpnuke existe, et n'importe quel hébergeur est sucseptible d'être attaqué, et il prendrait alors des décisions du même genre.

C'est néanmoins vrai que peu d'hébergeurs possedent les capacité en bande passante d'ovh, et que donc ils sont biens moins attractifs à d'éventuels hackers.
  
Herve
101     

Herve
  Posté : 28-11-2003 13:26

je n'y connais rien en php, mais je dirais que la solution serait de faire une variable du nom du fichier config.php, à renseigner lors de l'installation ; idem pour admin.php.
Voilà ! j'espère que je n'ai pas dit une grosse bêtise ou que ce n'est pas un travail monstre de recodage !
  Profil  www  
Tribal-Dolphin
4374       
 

Tribal-Dolphin
  Posté : 28-11-2003 13:40

En effet, je serais d'avis à mettre une variable $adminfile = "truc.php"; $configfile = "machin.php";

Dit comme ça c simple MAIS, toutes les configurations sont dans config.php et on veut modifier son nom.
Donc, il va falloir mettre ces 2 déclarations ($adminfile et $configfile) ailleurs ( header.before peut-être ? )

Mais le gros boulot vas être de scanner tous les appels à ces fichiers pour les renommer ...

A Suivre donc !

  Profil  
snipe
2450       
 

snipe
  Posté : 28-11-2003 15:22

config c simple :)

il aparait que dans mainfile.php a moin qu un mec est mal developer son module :)
admin.php ci la faut tous se refaire :( meme les module, les module personel ...;
la sa vas devenir braucoup plus hard :)

Parcontre plutot que des variable, je pencherai plus pour un defined question secu :p
  Profil  E-mail  
Tribal-Dolphin
4374       
 

Tribal-Dolphin
  Posté : 28-11-2003 15:27

Très bien vu Snipe !
  Profil  
developpeur
24581       
 

developpeur
  Posté : 28-11-2003 17:42

le script de modif est en route ... c'est carrement (pour l'instant) du hardcodding ... comme cela rien ne traine !

Cela prendra en charge tout le site (modules y compris) et devrait marcher sur presque tous les NPDS voir même sur les PhpNuke.

Il me faut encore bosser dessus, alors patience

PS : pour snipe
- lecture de toute l'arbo du site
- création d'un répertoire stockant les fichiers transformés
- transformation des fichiers
=> reste ensuite plus qu'a copier les fichiers dans leurs emplacements d'origines

Le script peut être relancé pour changer les noms, ou lorsqu'un patch est installé

T'en pense quoi ?
  Profil  E-mail  www  
Anonyme
19853  

Anonyme
  Posté : 28-11-2003 18:05

Salut,
Je pense d'ici demain terminer le paramétrage exact du code ci dessous. Fichier "repare_admin.php"
Il sufira de le placer sur la racine de votre répertoire NPDS puis de le lancer...
Cela devrait marcher.

<?
//Transform all admin.php scripts to admin_safe.php including content

//Transform a admin.php to admin_safe.php

function PHP3_2_PHP($file,$delete='keep')
{

if (ereg('\.php$',$file))
{
$file2 = str_replace('admin.php','admin_safe.php',$file);
$from_file = fopen($file,'r');
$to_file = fopen($file2,'w');
while ($line = fgets($from_file,4096))
{
$line = str_replace('admin.php','admin_safe.php',$line);
fputs($to_file,$line);
}
fclose($from_file);
fclose($to_file);

if ($delete == 'del')
unlink($file);
}
}

//Explore dir and subdirs ro transform
function TRANSFORM_SUBDIR($directory)
{
if (!ereg('/$',$directory))
$directory .= '/';

$dir = opendir($directory);
while ($file = readdir($dir))
{
if ($file != '.' && $file != '..')
{
if (is_dir($directory.$file))
$subdirs[] = $directory.$file.'/';
elseif(is_file($directory.$file))
PHP3_2_PHP($directory.$file,'del');
}
}
closedir($dir);

if (is_array($subdirs))
{
while (list($id,$sub) = each($subdirs))
TRANSFORM_SUBDIR($sub);
}
}

if ($dir)
TRANSFORM_SUBDIR($dir);
?>
<h2>Replace admin.php to admin_safe.php in scripts and filemanes</h2>
<form method = 'post'>
Directory to recurse<br>
<input type='text' name='dir' value='<? print $dir ?>'>
<input type='submit' name='toto' value='go'>
<input type='submit' name='tata' value='cancel'>
</form>


A moins que dev ou un autre ne s'en charge.
Bye



[ Message édité par : developpeur : 28-11-2003 18:15 ]
  
developpeur
24581       
 

developpeur
  Posté : 28-11-2003 18:14

ton algo est pas ok : tu vas transformer des choses qui ne doivent pas l'être (par exemple dans certains modules).

Faut tester si tu n'a pas .admin.php, -admin.php et _admin.php au moins

Mon script sera ready lundi soir je pense mais tu peut avancer le tiens cela permettra d'en aider certains

MERCI !
  Profil  E-mail  www  
snipe
2450       
 

snipe
  Posté : 28-11-2003 20:52

chouette dev :)

sa vas etres mortel :)
  Profil  E-mail  
developpeur
24581       
 

developpeur
  Posté : 29-11-2003 17:59

Je finirais quand même le script pour ceux qui veulent renomer admin.php ET config.php
  Profil  E-mail  www  
snipe
2450       
 

snipe
  Posté : 29-11-2003 20:37

et surtout pour etre pres si ovh ou un autre pt un plomb :)
  Profil  E-mail  
Aller à la page : [ 1 | 2 ]
Sauter à :

Temps : 0.0204 seconde(s)