NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
28 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 106 561 173
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» config.php et DDoS
Nouveau sujet
config.php et DDoS#18505Répondre
8Contributeur(s)
3 Modérateur(s)
Anonyme
Bonjour,
Je suis venu juste pour vous avertir qu'une attaque par DDoS est possible sur config.php. Elle ne doit pas être du même type que celle portée contre user.php. Précisions : le ficher config.php est origniale.
Je vous mets le message d'erreur en relation avec l'attaque :
Unable to select DataBase / Impossible d'accèder à la Base de Données
.: Too many connections :.
Vérifiez le contenu de votre fichier config.php / Check config.php
NPDS - Portal System / Générateur de portail
Au plaisir
Phenix
Je suis venu juste pour vous avertir qu'une attaque par DDoS est possible sur config.php. Elle ne doit pas être du même type que celle portée contre user.php. Précisions : le ficher config.php est origniale.
Je vous mets le message d'erreur en relation avec l'attaque :
Unable to select DataBase / Impossible d'accèder à la Base de Données
.: Too many connections :.
Vérifiez le contenu de votre fichier config.php / Check config.php
NPDS - Portal System / Générateur de portail
Au plaisir
Phenix
developpeur
effectivement mais comme sur beaucoup d'autre fichiers de NPDS (ou de n'importe quel autre script php). il n'est quasiment pas possible de se protéger de cela ... sauf avec url_protect car l'attaque aura necessaire une 'signature' qu'url_protect saura pister
Anonyme
Bonsoir,
J'ai pu regardé un peu le fichier url_protect, le point qui m'apparait comme peu clair est qu'il n'a l'air de pouvoir faire face aux techniques d'évasion de code qui sont généralement utilisé pour contourner les IDS certes, mais qui marche très bien contre un site également ...
La gestion des balises pourraient être prise en compte, enfin ceux qui permettent une exécution de code que "script" enfin c'est un proposition.
Phenix
J'ai pu regardé un peu le fichier url_protect, le point qui m'apparait comme peu clair est qu'il n'a l'air de pouvoir faire face aux techniques d'évasion de code qui sont généralement utilisé pour contourner les IDS certes, mais qui marche très bien contre un site également ...
La gestion des balises pourraient être prise en compte, enfin ceux qui permettent une exécution de code que "script" enfin c'est un proposition.
Phenix
developpeur
c'est loin d'être idiot :=!
Faut que je me penche sur un truc du genre / merci pour l'idée.
Tu a remarquer que url_protect est chargé dans le graber de variables ce qui lui donne une efficacité interressante ...
Faut que je me penche sur un truc du genre / merci pour l'idée.
Tu a remarquer que url_protect est chargé dans le graber de variables ce qui lui donne une efficacité interressante ...
Anonyme
Bonjour,
"La gestion des balises pourraient être prise en compte, enfin ceux qui permettent une exécution de code que "script" enfin c'est un proposition."
Je voulais dire une exécution de code comme la balise script, pardonnez moi si j'ai été peu clair.
Oui j'ai vu que le graber de variables intégrait url_protect, ce qui me fait penser à une attaque sur siganture, je m'explique. Ce que j'appelle "attaque sur siganture" est le fait que ton fichier url_protect fonctionne sur des sigantures et comme le code est open source, il devient possible de frapper le site non pas sur un fichier qui permet le fonctionnement du portail mais directement sur ton fichier url_protect, même s'il faut "mourir" ta page. Enfin je ne sais pas ou je veux en venir ?! Donc si le graber prend en compte url_protect, cela fait un fichier de plus où une attaque (D)DoS, qui sont nonbreuses, devient possible.
Son efficacité est en effet intéressante que je ne remet pas en cause, car l'idée est également bonne, mais à cette efficacité n'est pas totale à mon sens. A la place de couper court à la page (faire mourir la page), j'aurais coupé court à la connexion par cela tu peux éviter des attaques massives (DDoS) et arrêter rapidement un DoS.
Selon ma proposition il serait bien d'y intégrer une protection donc les DoS dans le fichier url_protect c'est-à-dire qu'il faudrait une tolérance de connexion pour une certaine signature. Si cete tolérance est dépassé alors on recupère l'IP et bloque la conenxion venant de l'IP, si c'est un simple DoS cela stoppera net l'attaque et si c'est une DDoS cela mettera juste le temps que tous les zombies soient pris en compte.
Le seul point que je ne peux pas te renseigner est que je ne connais pas la flexibilité du php à faire mur ...
Je pense alors que la globalité du graber sera alors pleinement utilisée, même si depuis php 5, la globalité est devenue dangereuse sur certains pionts enfin bref c'est une autre histoire.
NB: Je n'ai pas regardé tout le graber de variables, je suis peut-être passé à côté d'une chose ou je dis des conneries, il ne faut pas hésiter à me remprendre si tel est le cas.
PS : Je suis en anonyme, pardonnez moi mais il y a une personne qui a pris le pseudo "Phenix" sur le site est cela n'est pas moi. Mais je tâcherais de m'enregistrer à l'avenir sous un pseudo.
Phenix
"La gestion des balises pourraient être prise en compte, enfin ceux qui permettent une exécution de code que "script" enfin c'est un proposition."
Je voulais dire une exécution de code comme la balise script, pardonnez moi si j'ai été peu clair.
Oui j'ai vu que le graber de variables intégrait url_protect, ce qui me fait penser à une attaque sur siganture, je m'explique. Ce que j'appelle "attaque sur siganture" est le fait que ton fichier url_protect fonctionne sur des sigantures et comme le code est open source, il devient possible de frapper le site non pas sur un fichier qui permet le fonctionnement du portail mais directement sur ton fichier url_protect, même s'il faut "mourir" ta page. Enfin je ne sais pas ou je veux en venir ?! Donc si le graber prend en compte url_protect, cela fait un fichier de plus où une attaque (D)DoS, qui sont nonbreuses, devient possible.
Son efficacité est en effet intéressante que je ne remet pas en cause, car l'idée est également bonne, mais à cette efficacité n'est pas totale à mon sens. A la place de couper court à la page (faire mourir la page), j'aurais coupé court à la connexion par cela tu peux éviter des attaques massives (DDoS) et arrêter rapidement un DoS.
Selon ma proposition il serait bien d'y intégrer une protection donc les DoS dans le fichier url_protect c'est-à-dire qu'il faudrait une tolérance de connexion pour une certaine signature. Si cete tolérance est dépassé alors on recupère l'IP et bloque la conenxion venant de l'IP, si c'est un simple DoS cela stoppera net l'attaque et si c'est une DDoS cela mettera juste le temps que tous les zombies soient pris en compte.
Le seul point que je ne peux pas te renseigner est que je ne connais pas la flexibilité du php à faire mur ...
Je pense alors que la globalité du graber sera alors pleinement utilisée, même si depuis php 5, la globalité est devenue dangereuse sur certains pionts enfin bref c'est une autre histoire.
NB: Je n'ai pas regardé tout le graber de variables, je suis peut-être passé à côté d'une chose ou je dis des conneries, il ne faut pas hésiter à me remprendre si tel est le cas.
PS : Je suis en anonyme, pardonnez moi mais il y a une personne qui a pris le pseudo "Phenix" sur le site est cela n'est pas moi. Mais je tâcherais de m'enregistrer à l'avenir sous un pseudo.
Phenix
developpeur
ton raisonnement est assez juste / on pourrait associer le graber à ip-ban (une version dynamique) ce qui permettrais de rompre la connexion.
PHP sait manipuler les entêtes HTTP ... donc
Il faudra que je me penche sur ce genre de sujet :-)
PHP sait manipuler les entêtes HTTP ... donc
Il faudra que je me penche sur ce genre de sujet :-)
Dagm
Bonsoir,
Cela est normal de vous avertir de certaines choses, c'est la moindre des choses.
Prends le temps developpeur, url_protect est déjà bien :)
Phenix
Cela est normal de vous avertir de certaines choses, c'est la moindre des choses.
Prends le temps developpeur, url_protect est déjà bien :)
Phenix
Dagm
Bonsoir,
Tu peux préciser ta pensée stp, Merci
Cela ne me dérange pas de bosser avec toi sur ce concept mais ce qui m'intéresse est de savoir qu'elles sont les modalités de travail.
Phenix
Tu peux préciser ta pensée stp, Merci
Cela ne me dérange pas de bosser avec toi sur ce concept mais ce qui m'intéresse est de savoir qu'elles sont les modalités de travail.
Phenix
funeduc
Mon site est maintenant mis hors service par mon hébergeur. Celui-ci a dit que notre serveur (serveur mutualisé) a été victime d'une attaque de type DDOS.
Maintenant que je regarde vos post, bah tout correspond.
Je suis en version Narval (mais je peux pas en dire plus pour le moment car je n'ai plus d'accès à mon site...)
Ceci dit, on ne m'a pas encore dit si c'était bel et bien mon site qui a été hacké ...
Maintenant que je regarde vos post, bah tout correspond.
Je suis en version Narval (mais je peux pas en dire plus pour le moment car je n'ai plus d'accès à mon site...)
Ceci dit, on ne m'a pas encore dit si c'était bel et bien mon site qui a été hacké ...
Message édité par : funeduc / 29-12-2005 12:47
Dagm
Bonsoir,
Si c'est bien ton site qui a été attaqué alors le portail NPDS doit t'afficher une erreur du type
Le fichier attaqué ici est config.php ( il se peut que s'en soit un autre) si cela est le cas alors met le fichier url_protect.php en place, tu peux l'avoir à cette adresse http://www.npds.org/download.php?op=geninfo&did=114 à condition que tu n'ailles pas la dernière version.
Si tu n'as pas la dernière version modifie tes fichiers sur le serveur via FTP, si tu as accès ce qui devrait être le cas.
PS : être victime d'une DDoS n'est pas la même chose que se faire hacker. Le but d'un DDoS est de paralyser. Une protection supplémentaire est en cours pour éviter ce type de problème.
Phenix
Si c'est bien ton site qui a été attaqué alors le portail NPDS doit t'afficher une erreur du type
Unable to select DataBase / Impossible d'accèder à la Base de Données
.: Too many connections :.
Vérifiez le contenu de votre fichier config.php / Check config.php
NPDS - Portal System / Générateur de portail
Le fichier attaqué ici est config.php ( il se peut que s'en soit un autre) si cela est le cas alors met le fichier url_protect.php en place, tu peux l'avoir à cette adresse http://www.npds.org/download.php?op=geninfo&did=114 à condition que tu n'ailles pas la dernière version.
Si tu n'as pas la dernière version modifie tes fichiers sur le serveur via FTP, si tu as accès ce qui devrait être le cas.
PS : être victime d'une DDoS n'est pas la même chose que se faire hacker. Le but d'un DDoS est de paralyser. Une protection supplémentaire est en cours pour éviter ce type de problème.
Phenix
developpeur
Je rajoute qu'un serveur mutualisé est normallement protégé contre la mobilisation par un seul site de 100% de ses ressources.
Un DDOS est donc assez difficile sauf à engager X sites sur la même machine (voir la machine elle même) ... ou alors ton hébergeur est un branquignole :-)
Un DDOS est donc assez difficile sauf à engager X sites sur la même machine (voir la machine elle même) ... ou alors ton hébergeur est un branquignole :-)
funeduc
Oui voila aux dernières nouvelles...
C'est le serveur qui a été attaqué, et ils soupsonnent un cheval de Troie car les attaques se sont répété à 3 reprises ...
C'est le serveur qui a été attaqué, et ils soupsonnent un cheval de Troie car les attaques se sont répété à 3 reprises ...
urbain
un cheval de troie sur un serveur ??? Ôô
c'est un serveur easyPHP ou quoi ?
:-p
j'ai vu une fois un serveur mutualisé etre monopolisé a 100% par un site ...
mais le gazier avait monté un serveur IRC entièrement monté en PHP/MySQL et avait la touche F5 enfoncé :p
en 2 heure le serveur a completement pété ^^
et l'accompte neutralisé :p
c'est un serveur easyPHP ou quoi ?
:-p
j'ai vu une fois un serveur mutualisé etre monopolisé a 100% par un site ...
mais le gazier avait monté un serveur IRC entièrement monté en PHP/MySQL et avait la touche F5 enfoncé :p
en 2 heure le serveur a completement pété ^^
et l'accompte neutralisé :p
webservor
Urbain ... c'est toi ce boulzor ? :) Ouais j'ai déjà essayer le Serv IRC en PHP/MySQL. Mais pas via Apache c'est pas fait pour :)
urbain
ben ... un boulet ;) sinon il ne l'aurai pas fait evidemment !!
il voulait monter ça en catimini !
raté :)
il voulait monter ça en catimini !
raté :)
Abdel
Bonjour,
je pige rien à vos trucs mais mon hébergeur m'a dit que
je me fais régulièrement "hacké".
Il me propose aussi de chercher le type en cause mais c'est payant.
Je sais que je suis chiant mais au point de me faire sans cesse embêter,
là j'en ai marre.
En lisant les autres posts vous parlez de url_protect mais j'ai la dernière version
de NPDS 06.05 SABLE donc je n'en ai pas besoin, non ?
Voilà le message que j'ai :
Unable to select DataBase / Impossible d'accéder à la Base de Données
.: Can't connect to MySQL server on 'mysql4.6' (111) :.
Check config.php / Vérifiez le contenu de votre fichier config.php
NPDS - Portal System
je pige rien à vos trucs mais mon hébergeur m'a dit que
je me fais régulièrement "hacké".
Il me propose aussi de chercher le type en cause mais c'est payant.
Je sais que je suis chiant mais au point de me faire sans cesse embêter,
là j'en ai marre.
En lisant les autres posts vous parlez de url_protect mais j'ai la dernière version
de NPDS 06.05 SABLE donc je n'en ai pas besoin, non ?
Voilà le message que j'ai :
Unable to select DataBase / Impossible d'accéder à la Base de Données
.: Can't connect to MySQL server on 'mysql4.6' (111) :.
Check config.php / Vérifiez le contenu de votre fichier config.php
NPDS - Portal System
Abdel
bonjour c'est OVH qui m'a dit ça.
ça arrive sans cesse et plus personne ne peut se connecter. Quand ça arrive,
OVH déconnecte mon site afin que l'attaque cesse. Du moins c'est leur réponse.
Par ailleurs, sur la gauche j'ai un bloc avec les membres connectés et leur petites
enveloppe (comme sur ce site) ; et bien il arrive que les noms de mes membres
se doublonnent et hier j'ai eu des membres qui étaient en 4 à 6 exemplaires.
J'ai regardé dans la base session, et par contre là, il n'y avait que le nombre normal
de connectés.
Ensuite j'ai eu des pm (private message) en plusieurs exemplaires (5).
Une de mes membres a eu 43 exemplaires du même message.
j'ai un ami qui me dit
2/ tu me conseille de passer de NPDS 06.05 SABLE à 5.10 ??
Pas trop chaud ! j'ai galéré 4 mois pour faire mon site (harkis.info)
maintenant qu'il marche super bien, je n'ai pas envie de retourner en
arrière.
A vrai dire, j'en suis tellement content que je n'ose plus y toucher et
je pensais plutôt changer d'hébergeur.
merci
@+
Abdel
ça arrive sans cesse et plus personne ne peut se connecter. Quand ça arrive,
OVH déconnecte mon site afin que l'attaque cesse. Du moins c'est leur réponse.
Par ailleurs, sur la gauche j'ai un bloc avec les membres connectés et leur petites
enveloppe (comme sur ce site) ; et bien il arrive que les noms de mes membres
se doublonnent et hier j'ai eu des membres qui étaient en 4 à 6 exemplaires.
J'ai regardé dans la base session, et par contre là, il n'y avait que le nombre normal
de connectés.
Ensuite j'ai eu des pm (private message) en plusieurs exemplaires (5).
Une de mes membres a eu 43 exemplaires du même message.
j'ai un ami qui me dit
2/ tu me conseille de passer de NPDS 06.05 SABLE à 5.10 ??
Pas trop chaud ! j'ai galéré 4 mois pour faire mon site (harkis.info)
maintenant qu'il marche super bien, je n'ai pas envie de retourner en
arrière.
A vrai dire, j'en suis tellement content que je n'ose plus y toucher et
je pensais plutôt changer d'hébergeur.
merci
@+
Abdel