[Doc] Sécurisez votre répertoire admin

Découvrez ici une liste de documents concernant phpBB: son installation, sa mise à jour et enfin son utilisation.
En bref, apprenez ici à vous servir de phpBB2!

Modérateur: Equipe

Règles du forum
A lire impérativement sur notre page : Règlement

[Doc] Sécurisez votre répertoire admin

Messagepar spitfire pat » 23 Mar 2006 à 19:51

    » Sécurisez votre répertoire admin

    But du tutorial :
    La plupart des forums qui ont été éffacés par un hacker l'ont été parce que le pirate, par un moyen ou par un autre, a pu accéder au panneau d'admin.
    Même avec un forum mis à jour, nous n'aurons jamais la garantie absolue que ceci ne nous arrivera jamais, car les pirates ont toujours un temps d'avance.
    Voici un tuto qui vous donne moyen supplémentaire de sécuriser votre forum:


      Image Info: Cette documentation est faite à partir d'un phpBB version 2.0.21.


    » Renommer votre répertoire admin.

      Allez sur votre ftp et renommez le répertoire admin.

        choississez un nom compliqué tel que iuy6HhJ9vBnL n'utilisez que des lettres et des chiffres, pas d'espaces, de voyelles accentuées ou de # & @.

      Sur phpMyAdmin et créez une nouvelle entrée dans la table phpbb_config qui contiendra le nom du répertoire.
        INSERT INTO phpbb_config (config_name, config_value) VALUES ('admin_path', 'iuy6HhJ9vBnL')

      Modifier pagesart.php (situé dans le répertoire autrefois nommé admin)

        » CHERCHER :
        Code: Tout sélectionner
        //
        // End session management
        //

        » AJOUTER APRES :
        Code: Tout sélectionner
        $admin_path=$board_config['admin_path'];

        » CHERCHER :
        Code: Tout sélectionner
        	redirect(append_sid("login.$phpEx?redirect=admin/index.$phpEx", true));

        » REMPLACER PAR :
        Code: Tout sélectionner
        	redirect(append_sid("login.$phpEx?redirect=$admin_path/index.$phpEx", true));

        » CHERCHER :
        Code: Tout sélectionner
        	redirect(append_sid("login.$phpEx?redirect=admin/index.$phpEx&admin=1", true));

        » REMPLACER PAR :
        Code: Tout sélectionner
        	redirect(append_sid("login.$phpEx?redirect=$admin_path/index.$phpEx&admin=1", true));


      Ouvrir maintenant includes/functions.php

        » CHERCHER :
        Code: Tout sélectionner
        			include($phpbb_root_path . 'admin/page_header_admin.'.$phpEx);

        » REMPLACER PAR :
        Code: Tout sélectionner
        			include($phpbb_root_path . $board_config['admin_path'] . '/page_header_admin.'.$phpEx);

        » CHERCHER :
        Code: Tout sélectionner
        			include($phpbb_root_path . 'admin/page_footer_admin.'.$phpEx);

        » REMPLACER PAR :
        Code: Tout sélectionner
        			include($phpbb_root_path . $board_config['admin_path'] . '/page_footer_admin.'.$phpEx);

    Voilà, maintenant le lien vers le panneau d'admin en bas de page n'est plus fonctionnel et le pirate sera bien en peine à trouver votre répertoire d'administration.
    Vous aussi d'ailleurs si vous ne prenez pas la précaution d'enregistrer la nouvelle adresse de votre panneau dans les favoris (IE) ou marque-pages(FF).

    » Add-on 1
    Piégez davantage le pirate en créant un répertoire admin fictif (mais où il est quand même obligé de se ré-authentifier) tout en enregistrant sa tentative dans un fichier de log.

      Allez sur votre ftp et créez un répertoire admin.

      Uploadez dans ce répertoire le fichier page_start.php d'origine (pas celui que vous avez modifié et placé dans l'ancien répertoire admin renommé) ainsi que page_header_admin.php.

      Créez et uploadez dans le répertoire admin ce fichier index.php.

      Code: Tout sélectionner
      <?php
      define('IN_PHPBB', true);
      $phpbb_root_path = '../';
      require($phpbb_root_path . 'extension.inc');
      require('./pagestart.' . $phpEx);
      
      
      $ip = decode_ip($user_ip);
      $handle=fopen("log_pirate.txt", 'a');
      $text=date('d M Y H:i',time());
      $text .= ": " . $userdata['username'] . "->". $ip ."\n";
      fwrite($handle, $text);
      fclose($handle);
      ?>
      <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
      <html>
      <head>
      <title>Hacking attempt</title>
      <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
      </head>
      <body>
      <!--
      ici vous mettez le code html que vous voulez
      -->
      </body>
      </html>

    Si vous souhaitez voir une démo, demandez le moi par MP, je vous enverrai une adresse et un compte jr admin qui n'accède pas au VRAI panneau d'admin.

    » Add-on 2
    Il peut arriver que vous ayiez vous même du mal à parvenir à votre panneau d'admin et soyiez redirigé vers l'index en tapant :www.votre_domaine.com/votre_nouveau_repertoire_admin/index.php .

      Solution :

      c'est en raison d'un problème de n° de session, pour corriger cela, essayez de repérer le sid de votre connection.

      En vous connectant à votre page d'index, à un moment ou un autre vous devriez avoir dans la barre d'adresse quelque chose comme :
      http://www.votre_domaine.com/index.php?sid=410422313dfa941940881e6700b53644


      C'est ce que j'ai mis en rouge que vous devez ajouter à l'adresse de votre nouveau panneau d'admin pour arriver à quelque chose comme :
      http://www.votre_domaine.com/votre_nouv ... 6700b53644

      Bien sûr n'oubliez pas d'enregistrer cette adresse dans votre marque page/favoris.

      L'exemple de sid que j'ai donné est évidemment fictif, ce n'est pas celui que vous devez utiliser mais celui que vous aurez trouvé sur votre forum.
Avatar de l’utilisateur
spitfire pat
MOD Contest Winner
MOD Contest Winner
 
Messages: 15297
Enregistré le: 18 Sep 2004 à 16:43
Localisation: bourgogne

Retourner vers [phpBB 2.0.x] Forum de documentation

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités