Que vois-je? Après avoir été prive pendant plus d'un mois de mon forum préféré pour cause de connection internet foireuse (****** de ****** de connection), je me dirige d'un pas décidé vers l'URL bien connue, quand je m'aperçois que ledit forum est fermé! Après avoir pesté contre ces foutus hackers (non mais sans blague, ils ont que ça à faire? encore des frustrés qui sont restés à l'énigme 2 et qui se vengent mesquinement), je souhaite bonne chance à Swan pour résoudre ce problème.

Bon, du nouveau :

On m'a confirmé qu'il était effectivement, par défaut, impossible d'écrire dans un sous-domaine ou d'un sous-domaine vers un autre sous domaine.

Il semblerait qu'il faille éditer le fichier httpd.conf pour régler le problème, bon j'ai réussi à m'initier un peu au ssh, j'ai trouvé ce httpd.conf (dans /etc/httpd/conf), mais la personne qui m'a donné cette information ne se rappele plus ce qu'il faut modifier exactement dans ce fichier... J'ai cherché mais j'ai un peu peur de tenter des choses et de foutre tout en l'air.


Mais sinon il y a peut être un autre moyen d'arriver à ce que je veux faire sans utiliser de sous domaines, c'est à dire que le repertoire d'upload du forum ne gère pas le php, on peut peut être exclure un repertoire précis et dire qu'on ne veut pas que du code php soit reconnu dans ce repertoire, non ? ça serait bien plus simple...

c'est la qu'on peut dire merci à l'entraide entre internautes..

swan, voici le code qu'on copain utilise dans l'upload des images de sa galerie, sur son site.
quand on upload l'image, ce script vérifie que c'est bien une image, tout simplement ! !

Code:

//Note : $_FILES['photo'] c'est le fichier uploadé    unset($erreur);    $extensions_ok = array('png', 'gif', 'jpg', 'jpeg');    $taille_max = $_POST['MAX_FILE_SIZE'];    // vérifications    if( !in_array( substr(strrchr($_FILES['photo']['name'], '.'), 1), $extensions_ok ) )    {       $erreur = 'Veuillez sélectionner un fichier de type png, gif ou jpg !';     }    elseif( file_exists($_FILES['photo']['tmp_name'])       and filesize($_FILES['photo']['tmp_name']) > $taille_max)    {       $erreur = 'Votre fichier doit faire moins de 500Ko !';    }    // copie du fichier    if(!isset($erreur))    {       //tout le code d'upload    }    if(isset($erreur))    {       echo '<p>', $erreur ,'</p>';    }

_________________
Parfois je suis ici
Ou alors je suis par là
Mais on me trouve aussi ici

Merci Sen...

Mais comme le dit Swan, il ne sait pas ce qu'il faut modifier précisément de peur de tout foutre en l'air...
Enfin, espérons que ton info lui servira...

Oui merci pour ces conseils, j'ai fais une copie de ce fichier (pour quand je saurais quoi modifier), d'après vous il y a juste à modifier un truc là dedans ou ça ne suffira pas. Normalement c'est bel et bien possiblece que je veux faire ? Parceque je tourne en rond à googeliser toutes les combinaisons de mots clé (en plusieurs langues) et à lire des dizaines de page mais je ne trouve personne ayant déjà rencontré le même problème que moi, c'est pourtant pas une idée saugrenue de mettre le repertoire d'upload sur un sous-domaine sans gestion du php et tutti quanti, ça éviterait bien des problèmes d'intrusion, non ?

Une idée venant de Kernelsensei, Swan...

Dans le fichier .htaccess du repertoire upload, il faudrait mettre ceci :

Code:

<Files *.php*> Order Deny Deny from all </Files>

et il dit que le fichier de vérification des uploads ne sert à rien car on peut exploiter des failles avec des headers de fichiers images malveillants...

et pour finir, il te donne une adresse :

http://www.commentcamarche.net/apache/apacht.php3

Voilà...

Edit :
Kernelsensei remarque que tu as modifié les pass root, etc, et demande si tu as vérifié qu'il n'y avait pas de rootkits ??

Edit 2 : toujours de la part de kernelsensei, une autre idée...
Mettre

Code:

AddType text/plain .php

dans le fichier, ça désactive l'éxécution du .php dans le répertoire...

Ca les considerera comme un .txt, ca l'affichera dans le browser quoi, mais ca laisse l'acces au fichier proprement dit, juste qu'il ne sera pas interprete avec php

_________________
Attente Level 93....

Wish you were here...
Pink Floyd

Toujours de la part de kernelsensei, Swan...

Une adresse pour commencer :

http://wiki.mozilla.org/Documentation:Security

pour sécuriser les uploads....

Exemple :

Code:

" Securing the upload directory" <Location "/wiki/images"> php_admin_flag engine off AddType text/plain .html .htm .shtml .php </Location>

Il dit que ceci :

Code:

php_value engine off

dans le .htaccess ca marche aussi.
Pour les rootkits, y'a des outils pour vérifier
chkrootkit --> http://www.chkrootkit.org/
et rkhunter --> http://www.rootkit.nl/

et demande si par hasard tu voudrais pas passer sur le chan pour voir avec lui

Bon, c'est tout pour l'instant !!

_________________
Attente Level 93....

Wish you were here...
Pink Floyd

Merci pour toutes ces infos, je ne sais que choisir dans la méthode. Bon concrètement je fais quoi ?
Juste un php_value engine off dans un .htaccess que je glisse dans le repertoire d'upload ça suffit ?

D'après kernelsensei, c'est quoi le contenu idéal pour ce .htaccess ?

Réponse de kernelsensei :

http://wiki.mozilla.org/Documentation:Security le 2eme bloc de code

Code:

php_value engine off AddType text/plain .html .htm .shtml "*  This is also possible in the .htaccess file for the uploads directory (but make sure you write protect it) using just (note php_value not php_admin_value): php_value engine off AddType text/plain .html .htm .shtml"

mais encore une fois, ca sert a rien de securiser a mort le rep d'upload si ya un rootkit sur la machine

_________________
Solution

j'ai pas l'impression que php_value engine off marche, alors j'ai mis AddType text/plain .php .php3 etc...

Réouverture du forum officiel !

merci merci merci!!! Swan et kernelsensei

Je prie pour qu'il n'y ait plus jamais de problèmes!

oh oui, on ne veut plus de problème..

mais ce forum-ci repasse en mode "ralenti" ;-)

Je n'arrive pas à aller sur le forum ouverture-facile, ni à lancer le jeu à partir de www.ouverture-facile.com

C'est vraiment très embêtant!

Le jeu : http://www.ouverture-facile.com/plug/jeu.html

Le forum : http://www.ouverturefacile.com/forums/index.php

sinon, j'ai réussi à lancer le jeu à partir de l'url que tu as donnée, mais je vais essayer pour le forum

--- edit Espion ---

Pour le forum, ça fonctionne, par contre j'ai pas accès au book..
D'un autre côté, tu utilises quel navigateur ??
(Mozilla FireFox, je présume..)

Ouinnnnnnn! Le forum il est encore tout cassé!
Bonne chance à tous ceux qui devront le réparer. J'espère que quand je reviendrai de vacances ce sera fait. A dans deux semaines donc avec un forum tout neuf.

saleté de hacker de merde! j'en ai marre de tous ces cons qui sont jaloux des forums qui marchent !