Défacement de site

Défacement de site - ASP - Programmation

Marsh Posté le 24-07-2003 à 09:27:12    

Hello,
 
De vils et bas hackerz ont eu le mauvais goût de faire une (gentille, je dois admettre) attaque sur un site dont je m'occupe.
 
Hébergeur avec serveur IIS, site en ASP...
 
Ils ont bourré le root ainsi que différents dossiers de toutes les pages d'accueil imaginables (index.php, default.htm, home.asp, brèfles toutes les combinaisons envisageables).
 
La seule conséquence étant la disparition de ma page d'accueil, je n'ai eu qu'à détruire et remplacer, rien de tragique.
 
Mais, étant une passable tanche en sécurité, me demande si ce genre de choses provient de problèmes de sécurité chez l'hébergeur (comment qu'ils ont fait pour mettre des choses) ou si je peux agir de mon côté ?
 
PS1 : "IIS c'est de la merde" ne m'aidera pas beaucoup
PS2 : si faut mettre ça dans soft et rés, n'hésitez point


Message édité par deliriumtremens le 24-07-2003 à 09:29:04
Reply

Marsh Posté le 24-07-2003 à 09:27:12   

Reply

Marsh Posté le 24-07-2003 à 23:59:26    

L'hébergeur est grandement fautif. En effet, normalement, il n'aurai pas dû laisser passer ça, car même si IIS est loin d'être réputé pour la sécurité, ce genre d'attaque n'est pas cencé poser de problème à IIS... Une fois qu'on l'a un minimum sécurisé.
 
Plusieurs choses :
-> Vérifie que ton mot de passe d'accès au FTP ou autre du site est différent de celui que tu utilises par exemple pour accéder à la base. Un trou connu de IIS, pas toujours corrigé, permet en effet de lire le source de l'ASP, donc il est assez facile de retrouver ton pass d'accès à la base...
-> Vérifie que les extensions front-page sont désactivées, et notamment que "postinfo.html" n'existe pas. Si tu en as besoin, alors vérifie que c'est bien sécurisé. C'est en effet une faille monstrueuse (y compris sous Apache) lorsque c'est mal configuré.
-> Si tu as une page d'upload de fichiers, vérifie qu'on ne peux pas uploader tout et n'importe quoi n'importe où. Poste ton code si tu veux, je veux bien regarder si y'a des merdes. Deplus, quand tu uploades, vérifie que le répertoire où tu met les fichiers uploader n'a pas les droits d'éxécution ASP. Demande à ton hébergeur de les virer si c'est le cas, sinon c'est trop facile d'uploader une page ASP et de faire ce qu'on veut à partir de cette page.
 
Vérifie tout ça, et si tu penses que ça ne viens pas de ces points, alors envoie un mail de mécontentement à ton hébergeur, parceque clairement il assure pas.

Reply

Marsh Posté le 25-07-2003 à 08:18:28    

Merci  :jap:  
 
J'ai effectivement vérifié différents points de mon côté avant de m'adresser à l'hébergeur...
 
...qui m'a dit que tous les sites d'un de leurs serveurs (W2K) avaient subi le même sort.
 
Hébergeur fort sympathique, d'ailleurs, et réactif, mais dont la réponse me fait un poil douter du sérieux, puisqu'il me dit que les pirates ont "profité d'une faille de sécurité du système (comme il y en a tant sur les systèmes Microsoft)"
 
Bref il accuse la configuration de son serveur (plutôt qu'IIS, d'ailleurs).
 
Hum.
 
Heureusement qu'ils se sont arrêtés au défacement, parce que j'ai la triste impression qu'ils pourraient aller plus loin !
 
Mais bon la base n'a pas été touchée et le reste des fichiers est OK.
 
Pour l'instant :sweat:

Reply

Marsh Posté le 27-07-2003 à 23:27:39    

Mouais, vu la réponse, ils ne doivent pas être très sérieux. Surtout si c'est du 2K, qui est assez sécurisé, et donc les articles de sécu M$ sont très complets, pas comme NT4 qui est une grosse passoire très difficile à sécuriser.
 
En gros, j'ai l'impression qu'ils se sont contenté d'installer les SP, peut-être les différents patchs, mais n'ont pas touché à la config du serveur, qui, pour un serveur web, est très spécifique. Sans compter leur firewall qui me semble ne pas avoir été configuré, parceque même un firewall logiciel aurait dû bloquer toute attaque du système au moins...
 
T'as essayé de faire un scan des ports sur le serveur ?


Message édité par MagicBuzz le 27-07-2003 à 23:27:56
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed