OVH Community, votre nouvel espace communautaire.

piratage récent pour cause de site non sécu... smtp 25 en échec avec free et orange


Nowwhat
07/07/2016, 16h20
cryptage des mots de passe en bdd pour éviter une recherche par injection sql
L'injection 'SQL' est effectué par des GET's avec paramètres envoyé par des navigateurs et autres outils comparables (curl, wget, etc) pour que le script en place sur le serveur va effectuer des opérations SQL non-prévu par le script, mais envoyé dans le paramètres dans l'URL.
Dans ce cas, le "mot de passe" n'est pas nécessaire, le script sur le serveur accède facilement à la base du site web concerné.

CAD : bétonner le mot de passe (accès base) SQL ne protège à aucun manière contre les scripts mal foutu (qui permette l'usage détourne : l'injection SQL).
Il est conseillé d'utiliser des scripts d'une bonne qualité - et éviter le plugins (mods, extensions, etc) écrit par le codeur-de-Dimanche.

Daixiwen
07/07/2016, 10h29
Citation Envoyé par fabienaurejac
. cryptage des mots de passe en bdd pour éviter une recherche par injection sql
J'arrive un peu tard, mais juste une remarque au cas où (pour toi ou d'autres qui rencontrent le même problème). Tu ne dis pas ici comment tu as fait mais si c'est un simple chiffrement symétrique des mots de passe ce n'est pas considéré comme suffisant. Tout d'abord récupérer la clef permettrait de retrouver tous les mots de passe, ou bien la connaissance d'un mot de passe en clair + sa version chiffrée pourrait permettre de retrouver la clef (si le chiffrement symétrique est faible) ou encore avec l'accès aux mots de passe chiffrés c'est possible de déterminer si plusieurs utilisateurs utilisent le même mot de passe, et de là passer en force brute avec les mots de passe les plus communs.
Une des recommandations actuelles est de passer plutôt par un système de signature cryptographique (genre SHA, mais pas MD5 qui est considéré comme faible aujourd'hui), en ajoutant une chaîne aléatoire au mot de passe. En anglais la technique s'appelle "hash with salt" et on trouve des bibliothèques toutes prêtes pour le faire.

sloomy
19/06/2016, 14h20
Bonjour,

Attention en croyant qu'un pirate ne peut pas revenir !
Surveiller bien votre serveur !!!

Cdlt
Bruno

fabienaurejac
18/06/2016, 14h15
Ok, je vais faire ça.

Nowwhat
17/06/2016, 09h58
Je maintien mon idée : Si t'as 2 € H.T. quelque part disponible (une fois) , utilise le pour l'achat d'un IPFO.
N'utilise pas l'IP de ton serveur pour un accès grand public (sauf toi, peut être, pour ton accès SSH).

fabienaurejac
17/06/2016, 09h40
J'avais déjà répondu à bbr, mais visiblement, un bug sur le forum.
donc 10/10 déjà sur mail-tester, et j'ai réussi à faire déblacklister l'ip partout.
J'avais pensé à l'ip failover, mais visiblement ce n'est plus la peine, puisque postfix a pu délivrer tous ses couriels (plus rien avec mailq)
dkim et spf sont configurés correctement.
Enfin je vais nettoyer les scripts susceptibles d'injection sql
Merci à vous

Lui qui saurait te dire ça, ne le ferai pas. (mais il sera très riche demain)
grand bien lui fasse.

Nowwhat
16/06/2016, 18h45
Ne cherche pas à comprendre : t'as un SYS - profite donc des ces avantages.
Donc : commande un autre IPFO, puis colle toutes tes services à ce nouveau IP.
Laisse l'IP qui est listé un bout de temps (quelques mois) tranquille.
C'est simple & pas cher à réaliser.

D’ailleurs : Sur un serveur, on utilise jamais l'IP qui a été livré avec (l'IP natif) - on commande de suite des IPFO pour usage.

Par contre :
Quand j'aurai le temps, je ferai plus de sécu sur les injections possibles en SQL.
Normalement, on commence avec ce soucis d'injection.
Mieux : on vire /supprime /kill carrément ces scripts concernés.

Quelqu'un sait-il comment consulter les blacklist de ces FAI
Lui qui saurait te dire ça, ne le ferai pas. (mais il sera très riche demain)

Comme bbr a déjà dit : d’abord le 10/10 chez mail-tester, sinon ce n'est même pas la peine. Après, tes mails sont 'techniquement' ok - libre au destinataire (son serveur mail + son filtrage) de décider autrement

Les IP's de 'SYS' (ce concept n'existe pas vraiment ) ne sont pas listé nullepart.
Seulement les IP's qui ont envoyé des spams .......

bbr
16/06/2016, 08h13
comment est paramétré le gestionnaire de mails 'spf, dkim, etc.) ?
Que donne un test d'envoi sur mail-tester ? ( http://www.mail-tester.com/ )

fabienaurejac
16/06/2016, 02h30
Bonjour,
J'ai eu affaire à un piratage récent d'un serveur sur un projet que je reprends, le webmaster précédent du site en question n'avait rien fait après que je l'aie alerté sur la sécurité de son backoffice.
J'ai sécurisé à fond le site, avec les mesures suivantes:
. auth renforcée par crytographie asymétrique
. cryptage des mots de passe en bdd pour éviter une recherche par injection sql
. vérification de l'auth sur les téléversements
. incrontab sur les dossiers d'upload pour détecter et effacer tout fichier php entrant
. blocage temporaire de la plage d'ip de l'opérateur d'où le pirate initiait ses attaques.
Quand j'aurai le temps, je ferai plus de sécu sur les injections possibles en SQL.
D'autres conseils?
Le pirate ne peut plus revenir je le pense, mais j'ai un problème désormais malgré l'apparente absence de blacklistage du serveur par les principales blacklists, il se trouve que tous les mails à destination d'orange et de free sont en statut "defer".
Quelqu'un sait-il comment consulter les blacklist de ces FAI, ou si ces derniers bloquent les mails provenant des ips soyoustart?

Le serveur est loué par mon client.
merci.