Forum

Bonjour, je suis Manta est j'ai découvert phpboost il y'a un peu plus de deux mois, je l'utilise actuellement pour mon site Internet.

Mais voilà, une certaine personne peu intelligente menace aujourd'hui mon site pour des raison obscures qui relèvent plus d'un égaux surdimensionné qu'autre chose.

Ma question est la suivante : existe-t-il actuellement des failles dans le code de phpboost 2.0 ? Si oui, sont-elles exploitables ? et surtout, peut-on les colmater ?


Par ailler, je souhaiterai modifier mon mot de passe phpmyadmin, est-il possible de changer le mot de passe utilisé par phpboost pour se connecter à phpmyadmin sans tout réinstaller ?

Merci d'avance

Manta

Édité par Manta Le 02/07/2009 à 10h27

Bonjour,

Le risque 0 n'existe pas. Toutefois, la sécurité est une des priorités des développeurs de PHPBoost et ils mettent tout en oeuvre pour qu'il n'y ait pas de failles. Il est évident qu'ils ne fourniraient pas un produit contenant des failles en sachant qu'elles y sont.

si tu est sur un serveur mutualiser, ou hosting mutualiser tu ne peut que prier que ton hébergeur ai mis en place certaines securité aussi, dans le cas ou tu est sur un hébergement type 'serveur privé' tu peu pousser la config avec des soft qui bloque l'acces automatiquement.

tu peut aussi éventuellement bloquer l'aces au répertoire admin via un htaces, mais ce n'est a faire que en cas de risque connu ( ancien modo ou admin qui a "viré de bord" par exemple)

pour ce qui est de la modification du pass mysql, il faut aussi le changer dans phpmyadmin.
c'est tout a fait faisable, il suffit de suivre une parti de la procédure de migration d'hébergement.

Comme l'a dit Shadow, si il y avait des failles connues dans la 2.0, nous les aurions corrigées, il est bien évident que cela ne serait pas responsable de notre part de distribuer un produit dont on connait les limites en terme de sécurité mais qu'on ne fait rien pour corriger.
Il existe cependant un type d'attaque auquel la version 2.0 est potentiellement vulnérable. Vous comprendrez que je ne donnerai aucun détail pour ne pas que des mauvais esprits tentent de s'introduire dans certains sites. Ce potentiel risque a bien entendu été corrigé sur la version 3.0 mais nous n'avons pas pu le corriger sur la version 2.0 car ça nécessite une profonde restructuration qui a été faite pour la 3.0. Je vous rassure, je dirais que plus de 95 % des sites internet sont vulnérables à ce type d'attaque, et peu de CMS sont à même de contrer ce type d'attaque.
La mise en œuvre de ce type d'attaque est délicate, il faut que plusieurs facteurs se combinent pour le déclencher, et ces attaques ont une efficacité limitée. Voilà donc pourquoi beaucoup de gens font le choix de ne pas se protéger face à de telles attaques.

Sinon, nous ne pouvons évidemment pas garantir que notre produit ne contient pas de faille, tout développeur sait que le produit parfait n'existe pas, en tout cas tout a été conçu autour de la sécurité.

J'en profite pour rappeler qu'il est impératif de faire des sauvegardes régulières de son site, aussi bien des fichiers en FTP que de la base de données.

Merci pour vos réponses.

En effet, les menaces de "piratage" viennent d'un ancien modo dont j'ai effacé les accès bien entendu.
Il n'a plus non plus accès au serveur dédié qui heberge le site (dedibox).

Saturnin propose de sécuriser avec des logiciels, je veux bien mais lesquels ? Ou d'autre idées pour securiser ma dedibox ?

Tous mes dossiers contiennent un index.html pour empêcher le listing est-ce suffisant ou faut-il que je mette un Htacess ?

Merci

Manta

PBT 2.0, peut être vulnérable indirectement. S'il arrive à trouver ton mot de passe de messagerie ou encore de compte etc... Mais sinon PBT 2.0 n'a pour l'instant recensé aucune faille de sécurité.

Comme on dit généralement en sécurité, les problèmes viennent plus souvent de l'intérieur que de l'extérieur. Une malveillance ou une mauvaise idée de quelqu'un à qui on a confié de responsabilités sur un site, et un problème est vie arrivé...

Pour ce qui est de la sécurité de ta dedibox, je pensait a fail2ban et des réglages perso.

le verrouillage de la config de apache pour le rendre silencieux, (info sur la distri et les modules actifs ...)

Je connais pas le support de dedibox, mais il dois surement y avoir un fofo et/ou un wiki.
sinon celons la distro que tu a sur ta dedibox tu peu voir du cotes du site officiel de la communauté.

mais deja fail2ban, règle pas mal de souci, il evite la surcharge des tentatives d'intrusion, il limite le nombre de fois ou tu peu tenter de te loger au services ( ssh, ftp ) enfin c'est en fonction des réglages.

c'est aussi utile pour le souci de faille qu'ont nombre de cms. il peut limité le nombre d'acces simultane par une ip. bon c'est un peu sauvage, mais bigrement efficasse