Bonjour à tous,
Il m'arrive très rarement de poster, et encore moins pour de l'aide, mais là j'ai sincèrement besoin des lumières de quelqu'un d'autre.
En effet, j'administre un site de développement de jeux vidéos (http://www.gamemaker.fr/) et dû à une faille dans le CMS (CuteNews) que j'utilise (je suis en train d'en changer et de faire mon propre CMS) un hacker a pu installer un script php sur mon serveur, or je ne comprends pas où est la faille, et je ne peux donc pas la corriger.
Je suis sur un hébergement mutualisé proposé par Infomaniak.
En effet ce dernier a mis un code php dans un .png et a réussi à l'uploader au travers du système d'upload d'image. Ensuite, sûrement à partir de ce png, il a recréé ce fichier dans un autre dossier du serveur, où il l'a utilisé pour récupérer des données de ma bdd (c'est une bdd en flat file, c'est archaïque est un peu nul, mais ce système date de 2003, les utilisateurs sont stockés dans un .php avec un die au départ et on récupère les utilisateurs et leurs pass en lisant le fichier avec fopen & fread).
Le plus étrange est que le fichier qu'il a créé, sûrement depuis le .png, appartenait à l'utilisateur httpd (qui est donc Apache si je ne me trompe pas), alors qu'il est sensé appartenir à mon compte, car c'est ce qui arrive lorsqu'une page php que j'ai uploadé crée un fichier.
Ce fichier était une page php qui contenait des programmes en perl et qui servait à supprimer, ajouter etc. des fichiers, exécuter du php, voir le contenu des .php et plus encore.
Ma question, est donc, est il possible qu'il ait exécuté un .png comme étant un script php et surtout comment il l'a fait.
A savoir le fichier se nommait: cool.png.
J'ai lu que sur certain hebergements mutualisés, dont l'offre proposée par ovh, les fichiers du type: page.php.png étaient interprétés par du php, j'ai fait les tests sur mon serveur et ça n'est pas le cas.
Je voulais donc savoir si exécuter un .png par un interpreteur php était possible autrement, sinon c'est que la faille ne se trouve pas au niveau du système d'upload des images.
En vous remerciant par avance et en espérant avoir posté dans la bonne section.
Partager