NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
17 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 373 453
- Nb. de membres 8 695
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - J'ai un gros problème de pirate
[Résolu] - J'ai un gros problème de pirate#2194
15Contributeur(s)
![[-Jarod-]](users_private/[-Jarod-]/[-Jarod-].png "[-Jarod-]")
3 Modérateur(s)
Anonyme
N'empeche aue penetrer un systeme sans y etre eutorise est tout aussi illegal que faire un copier-coller barbare. De plus, c'est tout sauf du hacking ce que tu as fait, au mieux un pauvre kiddy de base qui se prend pour un justicier.
N'oublie pas de prolonger ton abonnement a BugTraq, ca te servira pour ton prochain reglement de compte. Quant a cleui qui a copie colle.... ca ne vaut meme pas la peine d'en parler.
Desole, c'etait mon coup de gueule.
N'oublie pas de prolonger ton abonnement a BugTraq, ca te servira pour ton prochain reglement de compte. Quant a cleui qui a copie colle.... ca ne vaut meme pas la peine d'en parler.
Desole, c'etait mon coup de gueule.
dante
je viens de lire ton petit coup de gueule , et faire ca c est moche c est clair , mais bon webalapelle aurait pu mettre un lien de son site ( avec tout ce qu il y a lol )
bref tout ca pour dire que mon intervention n a servi a rien :p :b
bref tout ca pour dire que mon intervention n a servi a rien :p :b
laso
Bon jour,
L'autre jour en surfant avec mon EssentialNetTools, J'ai trouvé un ordinateur, que lui meme il hebergé son site, grace a ça, j'ai eu son SQL,
le nom de la Base, le nom de l'utilisateur, et le mot de passe,
J'ai reussi a passer sur son phpmyadmin, et j'ai reussi a tout changer sur son site, le changement il a duré a peine 8 heures, car dans l'instant meme j'ai envoyé un mail, pour lui donner des explication du comment et du pourquoi,
il etait vraiment scié parce le site c'etait NPDS et la derniere version, alors il m'a dit qu'il comprennet vraiment pas comment cela a etait possible.
Tout ça pour vous dire, que vous avez bon a chercher a proteger la page admin.php, si vous hebergez votre site vous meme faut peutetre proteger son ordi.
Moi pour ma part j'utilise NPDS aussi, je dois dire que je suis vraiment content, parce que il y a eu du bon boulot, et puis niveau securité c'est au top.
J'ai dans mon site un systeme de protection ssuplementaire pour la page admin.php,
http://www.lasoluce.net/admin.php
ce n'est pas pour faire la pub de mon site, c'est juste pour vous montrer a quel point elle est protegé.
la protection suplementaire est un fichier qui est sur une folder a part avec un fichier htaccess pour eviter les aspirateurs, ensuite il y a un !include! de ce fichier sur admin.php et la c'est une double protection meme si qqun reussie a avoir votre code admin, faut qu'il ait aussi le code de ce fameux fichier caché.
en esperant que ça apeut aider qqun/
piston, de lasoluce :=!
Juste une petite precission; de que qqun essaye de passer cette protection voici ce que je recois dans mon courrier dans la minute qui suit:
Intrusion sur le serveur: http://www.lasoluce.net/admin.php
Tentative de recherche de Password:
Date: 08-12-2003 12:45:52
IP: ici l'ip de l'intrus
Hôte et Navigateur: Mozilla/4.0 (compatible; MSIE 5.5; MSN 2.5; Windows 98; Win 9x 4.90)
Login utilisé : la ce qui il a mis
Password Utilisé : et ici le password qui il a utilisé
apres ces infos c'est facile de tracer et de savoir qui c'est. :=!
L'autre jour en surfant avec mon EssentialNetTools, J'ai trouvé un ordinateur, que lui meme il hebergé son site, grace a ça, j'ai eu son SQL,
le nom de la Base, le nom de l'utilisateur, et le mot de passe,
J'ai reussi a passer sur son phpmyadmin, et j'ai reussi a tout changer sur son site, le changement il a duré a peine 8 heures, car dans l'instant meme j'ai envoyé un mail, pour lui donner des explication du comment et du pourquoi,
il etait vraiment scié parce le site c'etait NPDS et la derniere version, alors il m'a dit qu'il comprennet vraiment pas comment cela a etait possible.
Tout ça pour vous dire, que vous avez bon a chercher a proteger la page admin.php, si vous hebergez votre site vous meme faut peutetre proteger son ordi.
Moi pour ma part j'utilise NPDS aussi, je dois dire que je suis vraiment content, parce que il y a eu du bon boulot, et puis niveau securité c'est au top.
J'ai dans mon site un systeme de protection ssuplementaire pour la page admin.php,
http://www.lasoluce.net/admin.php
ce n'est pas pour faire la pub de mon site, c'est juste pour vous montrer a quel point elle est protegé.
la protection suplementaire est un fichier qui est sur une folder a part avec un fichier htaccess pour eviter les aspirateurs, ensuite il y a un !include! de ce fichier sur admin.php et la c'est une double protection meme si qqun reussie a avoir votre code admin, faut qu'il ait aussi le code de ce fameux fichier caché.
en esperant que ça apeut aider qqun/
piston, de lasoluce :=!
Juste une petite precission; de que qqun essaye de passer cette protection voici ce que je recois dans mon courrier dans la minute qui suit:
Intrusion sur le serveur: http://www.lasoluce.net/admin.php
Tentative de recherche de Password:
Date: 08-12-2003 12:45:52
IP: ici l'ip de l'intrus
Hôte et Navigateur: Mozilla/4.0 (compatible; MSIE 5.5; MSN 2.5; Windows 98; Win 9x 4.90)
Login utilisé : la ce qui il a mis
Password Utilisé : et ici le password qui il a utilisé
apres ces infos c'est facile de tracer et de savoir qui c'est. :=!
laso
Juste j'ai oublié,
apres les infos que vous avez vous pouvez tout simplement banir cette direction IP.
lol :=!
apres les infos que vous avez vous pouvez tout simplement banir cette direction IP.
lol :=!
florian-w
ça a l'air d'être pas mal ton système et j'aimerai en savoir plus alors si tu peux m'envoyer ton fichier dans ma bal, ce serait :=! de chez :=!
Anonyme
"<?php
$selfSecure = 1;
$shellUser = "11111";//met un login
$shellPswd = "11111";//met un password genre 12254475885zeezsdepfff
$adminEmail = "4444@lasoluce.net";//votre adresse email
$fromEmail = $HTTP_SERVER_VARS["SERVER_ADMIN"];
$Version = "Le Webmaster-www.1111111.net";// Nom de ton site
if($selfSecure){
if (($PHP_AUTH_USER!=$shellUser)||($PHP_AUTH_PW!=$shellPswd)) {
Header('WWW-Authenticate: Basic realm="Administrateur Site"');
Header('HTTP/1.0 401 Unauthorized');
echo "<html>
<head>
<title>Erreur - Accés Réservé</title>
</head>
<h1>ACCES REFUSE</h1>
Une alerte vient de partir à destination du Webmaster-Administrateur du Site. Votre IP est enregistrée
<hr>
<em>$Version</em>";
if(isset($PHP_AUTH_USER)){
$warnMsg ="
Intrusion sur le serveur: http://".$HTTP_SERVER_VARS["HTTP_HOST"]."$PHP_SELF
Tentative de recherche de Password:
Date: ".date("d-m-Y H:i:s")."
IP: ".$HTTP_SERVER_VARS["REMOTE_ADDR"]."
Hôte et Navigateur: ".$HTTP_SERVER_VARS["HTTP_USER_AGENT"]."
Login utilisé : $PHP_AUTH_USER
Password Utilisé : $PHP_AUTH_PW
";
mail($adminEmail,"Intrusion en Cours",$warnMsg,
"!from:! $fromEmail\nX-Mailer:$Version AutoWarn System");
}
exit;
}
}
if(!$oCols)$oCols=$termCols;
if(!$oRows)$oRows=$termRows;
?>"
tu met ce code dans un fichier que tu appelles d'un nom banal, tu le mets dans un folder avec un htacces, et puis dans ton admin.php tu mets
!include!("lenomdufichieravecsonchemin");
et le tour est joué, les gens auront du mal a aller sur ton admin, et meme tu pourras avoir acces en temps reel si tu reçois le mail toutes les minutes, c'est comme ça que c'est configuré chez moi.
et puis, juste une precision pour dev, c'est sur que security.log fait ça aussi mais dis moi, tu est pas d'accord avec moi que ça serait un bon truc a mettre en plus sur la version?
piston, de lasoluce
$selfSecure = 1;
$shellUser = "11111";//met un login
$shellPswd = "11111";//met un password genre 12254475885zeezsdepfff
$adminEmail = "4444@lasoluce.net";//votre adresse email
$fromEmail = $HTTP_SERVER_VARS["SERVER_ADMIN"];
$Version = "Le Webmaster-www.1111111.net";// Nom de ton site
if($selfSecure){
if (($PHP_AUTH_USER!=$shellUser)||($PHP_AUTH_PW!=$shellPswd)) {
Header('WWW-Authenticate: Basic realm="Administrateur Site"');
Header('HTTP/1.0 401 Unauthorized');
echo "<html>
<head>
<title>Erreur - Accés Réservé</title>
</head>
<h1>ACCES REFUSE</h1>
Une alerte vient de partir à destination du Webmaster-Administrateur du Site. Votre IP est enregistrée
<hr>
<em>$Version</em>";
if(isset($PHP_AUTH_USER)){
$warnMsg ="
Intrusion sur le serveur: http://".$HTTP_SERVER_VARS["HTTP_HOST"]."$PHP_SELF
Tentative de recherche de Password:
Date: ".date("d-m-Y H:i:s")."
IP: ".$HTTP_SERVER_VARS["REMOTE_ADDR"]."
Hôte et Navigateur: ".$HTTP_SERVER_VARS["HTTP_USER_AGENT"]."
Login utilisé : $PHP_AUTH_USER
Password Utilisé : $PHP_AUTH_PW
";
mail($adminEmail,"Intrusion en Cours",$warnMsg,
"!from:! $fromEmail\nX-Mailer:$Version AutoWarn System");
}
exit;
}
}
if(!$oCols)$oCols=$termCols;
if(!$oRows)$oRows=$termRows;
?>"
tu met ce code dans un fichier que tu appelles d'un nom banal, tu le mets dans un folder avec un htacces, et puis dans ton admin.php tu mets
!include!("lenomdufichieravecsonchemin");
et le tour est joué, les gens auront du mal a aller sur ton admin, et meme tu pourras avoir acces en temps reel si tu reçois le mail toutes les minutes, c'est comme ça que c'est configuré chez moi.
et puis, juste une precision pour dev, c'est sur que security.log fait ça aussi mais dis moi, tu est pas d'accord avec moi que ça serait un bon truc a mettre en plus sur la version?
piston, de lasoluce
laso
excusez moi je sais pas ce qui m'a pris de poster en anonyme,
pffffffff, ça arrive souvent
mince alors.
bref, ce que j'ai mis plus haut ce pour eviter que vous alliez sur mon site,
dans mo site j'ai mis ces explications; mais bon vaut mieux pas trop ballader les gens.
allez ciao et a + de vous lire
piston, de lasoluce
pffffffff, ça arrive souvent
mince alors.
bref, ce que j'ai mis plus haut ce pour eviter que vous alliez sur mon site,
dans mo site j'ai mis ces explications; mais bon vaut mieux pas trop ballader les gens.
allez ciao et a + de vous lire
piston, de lasoluce
developpeur
C'est pas idiot ton truc / je regarderais .
Sachant que bienôt je sortirais aussi un script capable de recoder admin.php et config.php (changer le nom de ces fichiers, voir pour config.php / le déplacer ailleurs)
A suivre
Sachant que bienôt je sortirais aussi un script capable de recoder admin.php et config.php (changer le nom de ces fichiers, voir pour config.php / le déplacer ailleurs)
A suivre
Anonyme
Citation : "03-07-2003 11:19, developpeur a écrit :
=> SQL injection sur NPDS 5.0 : cela ne doit pas être facile (à mon sens) !
Pour le reste : je ne sais "
----------
=> SQL injection sur NPDS 5.0 : cela ne doit pas être facile (à mon sens) !
Pour le reste : je ne sais "
----------
Anonyme
npds me semble être une grande porte ouverte. mon serveur reçoit en moyenne 11 tentative d'intrusions uniquement sur un npds ... :-|
GiamDoc
npds me semble être une grande porte ouverte. mon serveur reçoit en moyenne 11 tentative d'intrusions uniquement sur un npds ...
donne au moins l'adresse! et puis logues toi, tu sais dans la vie il faut avoir des c*******! :D
donne au moins l'adresse! et puis logues toi, tu sais dans la vie il faut avoir des c*******! :D
alexp
Qu'est-ce que tu entends par tentatives d'intrusions ... c'est plus que vague... A quel niveau, donnes nous un extrait des logs apache.
axel
pis c des TENTATIVES... pas des intrusions...
si le mec arrivait a conclure ses tentatives, la ce serait + emmerdant...
pis on peut pas empecher les gens d'essayer :-D
si le mec arrivait a conclure ses tentatives, la ce serait + emmerdant...
pis on peut pas empecher les gens d'essayer :-D
[-Jarod-]
Si le fait d'aller sur l'admin.php et de taper n'importe quoi il appelle ça des tentatives d'intrusions....
t pret devou? je vais te faire une tentative d'intrusion :-D
t pret devou? je vais te faire une tentative d'intrusion :-D
axel
ben merde alors !
j'ai reussi a rentrer ds l'admin de NPDS !!
:-o :-o :-o :-o
arf, c vrai, j'ai les codes :-D
MOUUUUUUUUUUUUUUUUUAAAAAAAAAAAAAAAAAAARRRRRRRRRRRRRFFFFFFFFFFFFFFFFFFFFFFFFFF
j'ai reussi a rentrer ds l'admin de NPDS !!
:-o :-o :-o :-o
arf, c vrai, j'ai les codes :-D
MOUUUUUUUUUUUUUUUUUAAAAAAAAAAAAAAAAAAARRRRRRRRRRRRRFFFFFFFFFFFFFFFFFFFFFFFFFF