Salut à tous et tout d'abord bravo pour votre excellent boulot qui a très souvent proposé des solutions à mes problèmes !

J'ai un gros problème. Je développe en ce moment un extranet en php avec BDD MySql. Cette nuit le serveur a été piraté et tout a été bousillé.

Notre extranet contient un sytème de log à l'entrée, un système d'upload de fichiers, des sessions, des cookies, une newsletter dynamique et une administration en ligne bref que des choses somme toute assez classiques en php.

Pensez-vous que les pirates aient pu exploiter une faille de sécurité dans notre prog ? ou bien ont-ils utilsé une faille du serveur ?

Bref en gros la question c'est peut-t-il y avoir de grosses failles de sécurité dans une prog php ? Je peux upoader le site si besoin est.

Merci de votre réponse

QUOTE

Peut-t-il y avoir de grosses failles de sécurité dans une prog php ?

Oui, bien sur, comme dans tout programme. Néanmoins, l'essentielle des faille de sécurité lié à PHP sont le fait d'une mauvaise conception des programmes par les développeurs ou d'une mauvaise configuration (fichier php.ini) par les hebergeurs. L'interpréteur PHP en lui même est très robuste et sécurisé (mais pas infaillible tout de même puisque le PHP Group annonce la sortie de PHP 4.3.11 et 5.0.4 !)

Dans ton cas, il faut essayer d'identifier la source du piratage (par exemple en essayant de reproduire l'incident)

> http://www.phpsecure.info
> http://www.php.net/security-note.php
> http://phpsec.org/

:wink:

QUOTE

Dans ton cas, il faut essayer d'identifier la source du piratage (par exemple en essayant de reproduire l'incident) :wink:

Oui merci beaucoup de tes conseils. J'en sais maintenant plus. L'hébergement a été cracké depuis un cyber café polonais par un gars qui est tout simplement passé par le module de stats awstat. Donc d'un point de vue personnel pas de problème la prog n'est pas en cause mais bon... :evil: :evil:

La faille a été découverte fin mars mais Mandrake n'ayant pas encore mis à jour Awstat, la faille a été exploitée. Un patch est maintenant dispo.
Cela dit comme tu l'as dit jep, rien n'est infaillible !

Merci pour les liens, je garde tout ca dans un coin de ma tête en esperant que ca ne me servira plus !

Ca leur rapporte quoi à tous ces gens de faire ca ? Sans même prévenir de la dite faille pour la corriger ou quoi ou qu'est-ce !

QUOTE

Ca leur rapporte quoi à tous ces gens de faire ca ? Sans même prévenir de la dite faille pour la corriger ou quoi ou qu'est-ce !

Tu veux dire aux pirates ? A rien, le site était encore en test et la BDD pleine d'entrées bidons en plus !
Il s'agit surtout de faire un exploit ! Indirectement ils nous alertent sur les failles mais après coup !

Là je suis plus zen pcq il y a pas trop eu de conséquences (à part une journée de boulot en plus !) mais crois moi vendredi j'étais vraiment Furax !!!