Piratage ?

Salut à tous

Depuis début avril j'ai quelques message bizarres sur le livre d'or de mon site perso.



Ces messages n'ont pas été saisis par mon logiciel (programme PHP) qui met à jour une base de données Mysql.

Si la date est correcte, le nom, la localisatoin et le commentaire, qui sont en principe saisis par le visiteur, sont complètement bidons.
Par contre le site (dernière colonne), en principe site perso du visiteur, semble être correct.
Bien entendu je n'ai cliqué sur aucun de ces liens.

Le pus étrange est que j'enregistre sur mes bases de données les IP des visiteurs d'une part et les IP de ceux qui écrivent sur le livre d'or d'autre part, mais que l'IP 188.92.75.82 située en Lettonie du "visiteur" qui a mis les messages sur le livre d'or n'est pas sur la liste des IP des visiteurs et donc n'est pas passé par ma page d'accueil.

Quelqu'un a directement créé ces messages dans ma base de données.
Le site de mon hébergeur a peut-être été piraté, sinon comment aurait-on pu avoir accès directement à ma bas de données ?
Ou alors j'ai une faille dans mon logiciel permettant de passer directement par l'URL de la page de saisie des messages sur le livre d'or.

Un (ou des) spécialiste(s) pourrai(en)t-il(s) me donner son(leurs) avis.

Merci d'avance

JJ

Quel est le lien de ton site ?

Bonjour

gugusg a écrit:

Quel est le lien de ton site ?

C'est http://philamusique.hebergratuit.net/

Il suffit de cliquer sur le bouton "www" sous mon message.
Je viens de corriger le lien qui était faux, c'est devenu ".net" au lieu de ".com" suite à une modification chez mon hébergeur.

JJ

Bonjour,

Point besoin de piratage, votre livre d'or est en libre accès via un simple formulaire sans captcha ni autre. Il suffit à un robot de tomber sur votre page (qui maintenant doit être connu de pas mal de robots) pour spammer le livre d'or.

Vous devriez rajouter un test (captcha, test statique, etc) pour éviter le spam.

Guillaume

gugusg a écrit:

Bonjour,

Point besoin de piratage, votre livre d'or est en libre accès via un simple formulaire sans captcha ni autre. Il suffit à un robot de tomber sur votre page (qui maintenant doit être connu de pas mal de robots) pour spammer le livre d'or.

Vous devriez rajouter un test (captcha, test statique, etc) pour éviter le spam.

Guillaume

Merci pour les infos.

J'ai trouvé plusieurs sites qui proposent des captcha.
Je vais étudier ça.

J'ai aussi trouvé ceci : http://fr.openclassrooms.com/informatique/cours/concevez-votre-site-web-avec-php-et-mysql/ne-faites-jamais-confiance-aux-donnees-recues-la-faille-xss
Mais mon site ne contient pas de données vitales qu'il faut sécuriser à tout prix.
Je ne vais peut-être pas pousser aussi loin.
J'ai une procédure qui me permet d'effacer les messages indésirables sans utiliser phpMyAdmin.

J'ai sur mon PC une copie intégrale du site, car je développe évidemment en local.
De plus je fais régulièrement la sauvegarde en 2 exemplaires de toutes les données du PC.

Mais les "méchants" trouveront toujours des moyens d'enquiquiner les honnêtes développeurs.

JJ

Oui il faut absolument controler les entréesz sorties de ton site, pour éviter les failles XSS (cross site scripting) et SQL injection, entre autre.

Il existe des fonctions dans les différents langages pour "sanatize" tes entrées.

Sinon pour ton livre d'or, c'est essentiellement des robots qui n'exploitent pas de failles. Un bete contrôle "quelle est la somme de 2+2" avec une boite ou tu controle que le visiteur met bien 4 dedans sinon tu rejette le commentaire suffit amplement pour filtrer

gugusg a écrit:

Un bete contrôle "quelle est la somme de 2+2" avec une boite ou tu controle que le visiteur met bien 4 dedans sinon tu rejette le commentaire suffit amplement pour filtrer

Je vais programmer un petit script très simple pour ce contrôle en générant des nombres au hasard.

Encore merci pour tes tuyaux.

JJ

Bonjour

Je suis toujours en admiration devant le savoir informatique de certains !!!!!

Moi qui crie "au loup" parce que je ne trouve pas le bouton de démarrage de mon scan ...

Mais si j'ai bien compris , JJ peut éventuellement effacer , sur son livre d'or , les commentaires qui ne lui plaisent pas ???

C'est presque comme la politique !       

Andres   

PS : Et dire que certains n'ont pas encore la faculté de discerner le recto du verso ....

Salut Andres

naguito a écrit:

... si j'ai bien compris , JJ peut éventuellement effacer , sur son livre d'or , les commentaires qui ne lui plaisent pas ??? ....

Je l'ai développé moi-même donc je peux en faire ce que je veux, mais tous les hébergeurs de livres d'or offrent cette possibilité à leurs administrateurs.
Comme pour les forums où certains ne se privent pas de donner des coups de ciseaux quand il y a des choses qui les dérangent.

naguito a écrit:

... Et dire que certains n'ont pas encore la faculté de discerner le recto du verso ....

Çà ce n'est pas difficile, mais les cartos sont d'une telle mauvaise foi ...

"  Çà ce n'est pas difficile, mais les cartos sont d'une telle mauvaise foi ..."

Depuis que je suis tout petit ( cela fait déjà longtemps ) on m'a toujours dit que l'important était "d'avoir la foi " ....
Mais on ne m'a jamais dit laquelle !!!!

Andres  

naguito a écrit:

Je suis toujours en admiration devant le savoir informatique de certains !!!!!

Quand on a passé plus de 30 ans dans l'informatique je pense qu'on n'a pas trop de mérite, même si c'était dans une domaine très différent.
A mes débuts, il y a 42 ans (ça ne nous rajeunit pas) nous n'avions pas de PC mais des cartes perforées.
Retraité depuis 12 ans j'ai tout de même certaines difficultés avec le PC et avec ma tablette très utile en déplacement.
Parfois on m'appelle "dinosaure" mais depuis 2 mois je préfère "papi".

Bonsoir à tous     

Puisque Guillaume à donné la solution à Jean-Jacques, je me permets de polluer ce fil     

naguito a écrit:

Depuis que je suis tout petit ( cela fait déjà longtemps ) on m'a toujours dit que l'important était "d'avoir la foi " ....
Mais on ne m'a jamais dit laquelle !!!!

JoRoland a écrit:

Parfois on m'appelle "dinosaure" mais depuis 2 mois je préfère "papi".

Je vous propose cette image de synthèse...


A plus. Patrick

Salut à tous

J'ai fait la modification (15min de boulot) et supprimé les messages indésirables (30sec).

Bonne soirée

PS pour Patrick : mignon le dinosaure mais pas autant que mon adorable petit-fils

JoRoland, je te conseille de facon plus globale,

- de contrôler néanmoins tes entrées (pour éviter les SQL injection) via des fonctions de sanitize ou en utilisant des préparations pour ta requête (ne surtout pas utiliser d'input directement dans une requête mysql !). Tu peut aussi controler les entrées de chaque champs avec des regex ou des fonctions filter de php si tu utilise php.

- de controler les sorties pour éviter les XSS (par exemple avec la fonction htmlspecialchars mais il y a peut être mieux, je sais pas ^^)

Bonjour - Minou, Naguito et moi on a bien sur tout compris    
René

glen a écrit:

Bonjour - Minou, Naguito et moi on a bien sur tout compris    
René

Bjr Glen
Des extraterrestres ! nous sommes sur une autre planète mon cher !     

gugusg a écrit:

JoRoland, je te conseille de facon plus globale,

- de contrôler néanmoins tes entrées (pour éviter les SQL injection) via des fonctions de sanitize ou en utilisant des préparations pour ta requête (ne surtout pas utiliser d'input directement dans une requête mysql !). Tu peut aussi controler les entrées de chaque champs avec des regex ou des fonctions filter de php si tu utilise php.

- de controler les sorties pour éviter les XSS (par exemple avec la fonction htmlspecialchars mais il y a peut être mieux, je sais pas ^^)

Bjr
Ben oui ! c'est pourtant simple !    

gugusg a écrit:

JoRoland, je te conseille de facon plus globale,

- de contrôler néanmoins tes entrées (pour éviter les SQL injection) via des fonctions de sanitize ou en utilisant des préparations pour ta requête (ne surtout pas utiliser d'input directement dans une requête mysql !). Tu peut aussi controler les entrées de chaque champs avec des regex ou des fonctions filter de php si tu utilise php.

- de controler les sorties pour éviter les XSS (par exemple avec la fonction htmlspecialchars mais il y a peut être mieux, je sais pas ^^)

Là ça se complique, j'avoue que j'ai moi-même un peu de mal à suivre.
Les fonctions d'assainissement (sanitize) sont nombreuses, mais je n'ai pas envie de me compliquer la vie avec plein de filtres.
Mon site n'étant pas sensible je ne vais pas le surprotéger.
Je n'ai pas des milliers de visiteurs par jour.

gugusg a écrit:

... ne surtout pas utiliser d'input directement dans une requête mysql !

Ça je le savais.

J'ai appris le php en auto-éducation sur un site internet.

Dans une vie antérieure j'étais surtout spécialisé gestion de bases de données IMS langage PL/1 (j'avais bien écrit "dinosaure").

Bonjour à tous

La seule chose compréhensible pour moi , c'est que JJ est devenu Papi , discrètement , sans rien en dire !!!! ( ou j'ai loupé quelque chose ?).
Radinerie pour ne pas payer un pot ou discrétion ????

Toutes mes félicitations quand même Papi ....

Andres        

Voici JJ dans sa tenue de dinosaure ......

naguito a écrit:

La seule chose compréhensible pour moi , c'est que JJ est devenu Papi , discrètement , sans rien en dire !!!! ( ou j'ai loupé quelque chose ?).
Radinerie pour ne pas payer un pot ou discrétion ????
Toutes mes félicitations quand même Papi .... 

Merci Andres, tu n'as rien raté et tu as tout compris.
Alors j'avoue, je suis resté discret.

Si tu savais le nombre de bouteilles de Champagne que j'ai payées depuis le 27/2 (naissance de Léo).
Depuis ce jour-là je suis sur une autre planète.
Il est à 3h30 de chez moi mais vient de passer une semaine à la maison avec sa maman, le papa étant en déplacement à l'autre bout de la France.
Le bonheur total : papi calme les pleurs, papi change les couches, papi prépare et donne le biberon... (mamie aussi, ne l'oublions pas).

Du Champagne il en reste, il suffit de venir me voir, l'Euroairport est à 10 minutes.    

Pour te consoler , JJ , on est toujours le dinosaure de quelqu'un !!!!

Et voici Léo avec ses dinosaures

Bienvenue Leo sur cette terre de souffrance mais également de grandes joies ....( voir ton papi ...).

Andres   

Nous sommes complètement hors-sujet, mais que font les admins ???

Ils dorment , comme d'habitude .....

Bonsoir

JoRoland a écrit:

gugusg a écrit:

Un bete contrôle "quelle est la somme de 2+2" avec une boite ou tu controle que le visiteur met bien 4 dedans sinon tu rejette le commentaire suffit amplement pour filtrer

Je vais programmer un petit script très simple pour ce contrôle en générant des nombres au hasard.

Encore merci pour tes tuyaux.

JJ

Juste un petit mot pour signaler que depuis que j'ai mis en place ce contrôle je n'ai plus de messages indésirables.

JJ

JoRoland a écrit:

Et voici Léo avec ses dinosaures

Félicitations papi !

François

       
Bonsoir,
Quel mignon petit loup, bientôt ... hop à l'école !!! Il reste des places ici à Horion...   
Félicitations Papi JJ
  

Fée clochette a écrit:

       
Bonsoir,
Quel mignon petit loup, bientôt ... hop à l'école !!!  Il reste des places ici à Horion...   
Félicitations Papi JJ
  

Bonjour La Fée
Evidemment qu'il reste des places a Horion ! au vu des maitresses il y a de quoi  ! les enfants partent en courant, traumatisé pour le reste de leur vie
ASSASSINS, BOURREAUX D4ENFANTS.        
       
Et c'est comme ça qu'ils se font piéger ! "quel mignon le petit loup" et hop a l'école d'Horion !