Help, Piratage de l'accès à la base de données

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar redpooka » 28 Oct 2003 15:39

Au secour, j'ai un gros problème ! <BR> <BR>Le serveur est sous unix. <BR> <BR>Hier la base de données c'est fait hacker, une personne a modifié les droits d'accès des utilisateurs. Donc impossibilité de connexion. <BR> <BR>Formatage du serveur, puis on change tout les mots de passes, on remet les fichiers php... <BR> <BR>Puis aujourd'hui BLAM !!! Ca recommence plus aucun accès à la BD vu qu'une personne a encore modifié. <BR> <BR>Dans l'access log à l'heure du changement de mot de passe j'ai ceci <BR> <BR>ipdugars [27/Oct/2003:15:13:32 +0100] "GET / HTTP/1.1" 200 1291 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" <BR>uneautreip [28/Oct/2003:09:40:52 +0100] "GET / HTTP/1.1" 200 1291 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr-FR; rv:1.0.2) Gecko/20030208 Netscape/7.02" <BR> <BR>Donc que faire ? Comment fait-il ? <BR> <BR>Merci
Avatar de l’utilisateur
redpooka
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 30 Sep 2003 00:00

Messagepar nemesis » 28 Oct 2003 15:44

t'as pas plutôt les logs de ton serveur de base de donnée? <BR>c koi kom base et c'est qu'elle type d'env php? <BR>@+
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar cpomalo » 28 Oct 2003 15:45

Salut <BR> <BR>avec + d'info sur le software ce serai mieux <BR> <BR>claude
Avatar de l’utilisateur
cpomalo
Aspirant
Aspirant
 
Messages: 102
Inscrit le: 08 Oct 2003 00:00
Localisation: auvergne

Messagepar elbibelo64 » 28 Oct 2003 15:50

Il faudrait les logs de ton serveur de BD et les versions du PHP et du serveur WWW. <BR> <BR>Avez-vous patché les versions utilisés?
Avatar de l’utilisateur
elbibelo64
Aspirant
Aspirant
 
Messages: 133
Inscrit le: 18 Oct 2003 00:00
Localisation: Bayonne (64)

Messagepar yannva » 28 Oct 2003 15:51

1 : quelle base de données : oracle mysql postgres <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>2 : quels sont les accès ouverts à cette base : uniquement pour un serveur web ou autre <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Avec un peu d'infos on pourrait peut être comprendre <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>A + <BR> <BR>Yann
Image
Si tous ceux qui croient avoir raison n'avaient pas tort, la vérité ne serait pas loin. [Pierre Dac]
Avatar de l’utilisateur
yannva
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 31 Août 2002 00:00
Localisation: Nancy

Messagepar redpooka » 28 Oct 2003 16:35

Base de donnés mySQL 4.01 et puis lors du second hackage 3.23.49, pas eu le temps de le mettre en <BR> <BR>Php 4.1.2 <BR> <BR>Ou peux t on voir les accès à la base de donnés ?
Avatar de l’utilisateur
redpooka
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 30 Sep 2003 00:00

Messagepar nemesis » 28 Oct 2003 16:39

bon alors déjà une question con tu as mis un mot de passe à l'user root de la base de donnée mysql? <BR> <BR>ensuite est il limité à l'écoute uniquement en local (ie pas de remote user autorisé?) <BR> <BR>enfin tu n'utilise pas de portail style phpnuke? <BR> <BR>et est ce que ton appli qui fait appel a ta mase mysql est protégée contre les sql injections? <BR>en fait le truc qui me gène c'est que pour changer le mot de passe il faut que l'user qui run la requête soit un user privilegié root par exemple (je parle du root mysql qui est totalement différent du root systeme).
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar redpooka » 28 Oct 2003 16:43

Donc le mot de passe de root est un mot de passe de type complexe, avec majuscule, caractère spéciaux... <BR> <BR>Sinon je n'ai pas vu de faille niveau SQL injection, vu que j'utilise à chaque fois htmlspecialchar couplé avec addslashes. <BR> <BR>Comment on limite à l'écoute uniquement en local ? Comment savoir si c'est activé ?
Avatar de l’utilisateur
redpooka
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 30 Sep 2003 00:00

Messagepar cpomalo » 28 Oct 2003 16:47

salut <BR> <BR>As tu d'autre service de configuré sur ton serveur?
Avatar de l’utilisateur
cpomalo
Aspirant
Aspirant
 
Messages: 102
Inscrit le: 08 Oct 2003 00:00
Localisation: auvergne

Messagepar nemesis » 28 Oct 2003 16:49

bha c'est simple dans ta table users tu dois pas avoir de user du type user@ ou <!-- BBcode auto-mailto start --><a href="mailto:user@ip.">user@ip.</a><!-- BBCode auto-mailto end --> <BR> <BR>Ensuite pas de phpmyadmin ou autre? <BR> <BR>L'user qu'utilise ton appli c'est quel user si c'est root déjà change ça!
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar redpooka » 28 Oct 2003 16:53

Si phpmyadmin, mais le problème c'est quand j'ai supprimé l'utilisateur root on pouvait encore avoir accès à phpmyadmin et faire des modifs dans la base de donnés
Avatar de l’utilisateur
redpooka
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 30 Sep 2003 00:00

Messagepar nemesis » 28 Oct 2003 16:58

normal phpmyadmin a son propre utilisateur privilégié ! <BR> <BR>le truc c'est de : <BR> <BR> - mettre un utilisateur non privilégié à l'appli que tu veux faire tourner. <BR> - empêcher l'aces a phpmyadmin par quiconque qui ne serait pas authorisé <BR> - ne pas laisser de remote user sur une base mysql qui en a pas besoin.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar redpooka » 28 Oct 2003 17:09

Qu'est ce que le remonte user ?
Avatar de l’utilisateur
redpooka
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 30 Sep 2003 00:00

Messagepar yannva » 28 Oct 2003 17:13

remote user = utilisateur distant <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>règle N°1 : définir les droits utilisateurs avant toute connexion <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR>Yann
Image
Si tous ceux qui croient avoir raison n'avaient pas tort, la vérité ne serait pas loin. [Pierre Dac]
Avatar de l’utilisateur
yannva
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 340
Inscrit le: 31 Août 2002 00:00
Localisation: Nancy

Messagepar redpooka » 28 Oct 2003 17:14

C'est e que j'ai fait sur les utilisateurs distants. <BR> <BR>Comment enlever tout les remote user ?
Avatar de l’utilisateur
redpooka
Second Maître
Second Maître
 
Messages: 32
Inscrit le: 30 Sep 2003 00:00

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité