Piratage de mon siteFermé

Question

Bonjour à tous et merci d'avance pour toute aide qui pourrait me parvenir.

Voilà mon problème:
J'ai un site amateur et collaboratif qui devenant un peu connu auprès de certains a attiré bien sûr des pirates. J'ai eu droit dans le passé à des injections sql que j'ai à priori corrigé (je ne suis pas un pro ;-) ). J'ai aussi crypté les mots de passe avec du sha et une clé.
Dans le passé un ou deux utilisateurs m'ont indiqué avoir été connecté sous un autre pseudo que le leur (bizarre je comprends pas comment, prob de cookie? piste à suivre?).

Reste qu'il y a quelques mois un membre trop insultant envers ceux qui n'étaient pas d'accord avec lui a été viré et depuis il tente par de multiples façons à me faire la misère. Il avait d'abord réussi à avoir des mots de passe d'où piratages récurrents et mutlples (mais je ne voyais pas les logs incriminés). Ensuite j'ai crypté les mots de passe, tous les admins ont changé leur mot de passe. Il y a 2  semaines, à nouveau  une alerte, un admin connecté alors que ce n'était pas lui avec quelques modifications d'infos mineures par le pirate (donc mot de passe récupéré). Hier rebelotte un autre admin piraté sauf que cette fois ci le pirate a carrément changé des photos pour mettre des trucs débiles à la place des photos d'origine (heureusement j'avais sauvegarde). Je commence à en avoir marre de ne pas comprendre comment il fait et de ne pas savoir que faire pour le contrer (le pirate est américain donc je ne peux pas porter plainte, le site est international). Si quelqu'un avait des idées, voire était capable en voyant mon site de me dire par où il rentre, ce serait cool parce que je commence à criser de la bêtise de certain (toujours le même, il s'en vante).

Pour infos sur les logs incriminés hier j'ai vu un truc bizarre ex:
"GET /vehicle.php?id=67757 HTTP/1.1" 200 9604 "\x9e>\x9c\x1ax\xa9\xd2\xa1\x16\xe4\x0f[l[\xb2|3r_\xd8'\xa7\x80\x80\x8f\xc5[\xe5"

avec ces x je sais pas quoi à plusieurs reprises. Aucune idée si c'est lié (ce n'est apparu que quand la personne changeait les photos), il s'était connecté déjà auparavant sur un compte admin sans que cela n'apparaisse.

Comme j'ai pas forcement envie d'attirer d'autres pirates sur mon site, je donne mon site par message privé.

Merci réellement pour toute réponse.

Benoit A. · Answer

Ton problème réside surement sur le fait que tes mots de passes ne sont pas bien crypté. 
Il faut changer ta base le mode de soumission

Rinspeed84 · Answer

Comment ça changer la base, le mode de soumission?

J'ai ça comme cryptage: $password=sha1($salt1.$pass.$salt2); avec les 2 salt différents.

Les mots de passe sont bien sur cryptés dans la base.  Je ne vois pas ce que je peux faire de plus à ce niveau là.

Ysabe_l · Answer

Bonjour,

Est-ce que tu es certain qu'aucun admin n'est "corrompu" et que leurs mots de passe sont bien sécurisés ?

Est-ce qu'il y a une limitation du nombre d'essais dans la saisie du mot de passe ?

Rinspeed84 · Answer

Pas d'admin corrompu, mot de passes cryptés

Pas de limitation mais pas d'attaque brute force dans les logs

Ysabe_l · Answer

Oui les mots de passe cryptés tu l'as expliqué au dessus, mais est-ce qu'ils sont complexes ? Genre si un admin met "azerty" en mot de passe faut pas s'étonner qu'il se fasse pirater.

Le site c'est un site "fait maison" ou un CMS ?

Rinspeed84 · Answer

Ah ben j'en sais, rien je ne connais pas les mots de passe des admins.

Le site est fait maison.

Utilisateur anonyme · Answer

salut, 

oui Ysabel soulève un point important ==> le complexité des mdp.

si on prends ce site :

https://www.intel.com/content/www/us/en/homepage.html

le mdp azerty dure 0 secondes !

le mdp !3Nt3rT0AdM1n=>gO! dure 4917897112 années

azerty, 123456, password...sont les mots de passes les plus utilisé

https://www.journaldugeek.com/2014/01/20/123456-le-mot-de-passe-le-plus-utilise-en-2013/

Ensuite, les problèmes peuvent venirs de GET (ma_page.php?article=78) si c'est pas bien controlé.

L'upload de fichiers est dangereux si mal contrôlé aussi.

Bonne journée

Piratage de mon site

7 réponses

Discussions similaires

Newsletters