Joomladay francophone 2018 à Paris 18 et 19 mai

Sécurisation répertoire admin impossible

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Sécurisation répertoire admin impossible

    Bonjour à tous

    Je vous fait part de l'impossibilité de sécuriser le répertoire Administrator de Joomla 1.5.9. Mon site hébergé en 90 Plan chez OVH est presque achévé, les dns sont mis-à-jour, etc...

    J'ai suivi la doc OVH pour sécuriser ce répertoire, sans succès (http://guides.ovh.com/HtaccessProtection)

    J'ai créer les fichiers avec le bloc note vérifiant les CR. j'ai fait des essais avec note pad++ en mode UNIX sans résultat. idem avec un htaccess contenant le strict minimum. Avec winhex j'ai cherché un éventuel CR...RAS

    J'ai uploadé le .htpasswd dans le répertoire à protéger et ajouté le code ci-dessous dans le .htaccess :

    Code:

    Code:
    AuthUserFile /home/monloginftp/www/administrator/.htpasswd
    AuthGroupFile /dev/null
    AuthName "Accès Restreint"
    AuthType Basic
    <Limit GET POST>
    require valid-user
    </Limit>

    Dans le .htpasswd j'ai mis ceci:
    Code:

    Code:
    carin4r:d5.pMxkFAG/vM
    le code d'origine : qlgi15z7
    la clé: d5

    Je me connecte, j'ai bel et bien la boite de login me demandant les identifiants, or ça plante après validation des identifiants -> Internal Server Error

    Avec un mot crupté sans . sans ne marche pas non plus....

    Que faire?
    Dernière édition par kanterbrau04 à 12/01/2009, 22h42 Raison: modification intitulé du sujet

  • #2
    Envoyé par kanterbrau04 Voir le message
    Code:
    AuthUserFile /home/monloginftp/www/administrator/.htpasswd
    AuthGroupFile /dev/null
    AuthName "Accès Restreint"
    AuthType Basic
    <Limit GET POST>
    require valid-user
    </Limit>
    Les lignes ci-dessus sont à intégrer dans un fichier .htaccess dans le répertoire administrator.

    Pour créer un .htpasswd valide dans le même répertoire, c'est ici que ça se passe http://www.htaccesstools.com/htpasswd-generator/
    Tereva
    Océan : masse d'eau occupant à peu près les deux tiers d'un monde destiné à l'homme - lequel est dépourvu de branchies - Ambrose Bierce -

    Commentaire


    • #3
      Hello,
      Merci pour la réponse, j'ai regardé le lien et créé les fichiers, ça plante!
      Idem en suivant le guide OVH.
      J'ai essaye de nombreuses possibilités:
      chmod 705 505 604 404
      .htpasswd avec un autre nom et/ou autre dossier
      .htpaccess avec chemin relatif
      .htpaccess avec chemin absolu
      etc...
      La boite de login me demandant les identifiants de .htpasswd s'affiche, je saisit et je valide ensuite
      Sans résultat...->"Internal Error"

      j'ai également ce .htaccess à la racine du site:
      Code:
      # Identifiant de session placé dans le cookie
      SetEnv SESSION_USE_TRANS_SID 0
      # Register Globals : Off
      SetEnv REGISTER_GLOBALS 0
      # Magic Quotes GPC : Off
      SetEnv MAGIC_QUOTES 0
      # Utilisation de php 5
      SetEnv PHP_VER 5
      # Activation de l'optimiseur Zend
      SetEnv ZEND_OPTIMIZER 1
      # Interdire acces htaccess
      <Files .htaccess>
      order allow,deny
      deny from all
      </Files>
      # Interdire acces configuration
      <Files configuration.php>
      order allow,deny
      deny from all
      </Files>
      # Bloquer affichage contenu dossiers
      Options -Indexes
      ### INTERDIRE LES AUTRES TYPES DE FICHIER INDEX
      <Files ~ "^(index)\.(p?s?x?htm?|txt|aspx?|cfml?|cgi|pl|php[3-9]|jsp|xml)$">
      order allow,deny
      deny from all
      </Files>
      ### INTERDIRE L'AFFICHAGE DE CERTAINS FORMATS DE FICHIER 
      ### EXÉCUTÉS PAR LE SERVEUR MAIS INTERDIT D'AFFICHAGE PAR LE NAVIGATEUR WEB
      <Files ~ "\.(inc|class|sql|ini|conf|exe|dll|bin|tpl|bkp|dat|c|h|py|spd|theme|module)$">
      deny from all
      </Files>
      ###FILTRE CONTRE ROBOTS DES PIRATES ET ASPIRATEURS DE SITE WEB
      ### LISTE ICI: http://www.toulouse-renaissance.net/c_outils/
      ## EXCEPTION: TOUS LES ROBOTS MEMES ANONYMES OU BANNIS PEUVENT ACCEDER A CES FICHIERS
      RewriteCond %{REQUEST_URI} !^/robots.txt
      RewriteCond %{REQUEST_URI} !^/sitemap.xml
      ## 
      RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
      RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]
      RewriteCond %{HTTP_USER_AGENT} ^<sc|8484\ Boston\ Project|autoemailspider|@nonymouse|ADSARobot|Advanced\ Email\ Extractor|^adwords|ah-ha|aktuelles|amzn_assoc|Anarchie|anonymous|Art-Online|ASPSeek|ASSORT|ATHENS|Atomz|attach|autoemailspider|BackWeb|Bandit|BatchFTP|bdfetch|big.brother|BlackWidow|blogsearchbot-martin|bmclient|Boston\ Project|BravoBrian\ SpiderEngine\ MarcoPolo|Bullseye|bumblebee|capture|CherryPicker|ChinaClaw|CICC|clipping|Crescent|Crescent\ Internet|curl|Custo|cyberalert|Deweb|diagem|Digger|Digimarc|DIIbot|DirectUpdate|disco|DISCoFinder|Downloader|Download\ Accelerator|Download\ Demon|Download\ Wonder|Drip|DSurf15a|DTS.Agent|EasyDL|eCatch|echo\ extense|ecollector|efp@gmx\.net|EirGrabber|EmailCollector|EmailSiphon|Email\ Siphon|EmailWolf|Email\ Extractor|Express\ WebPictures|ExtractorPro [NC,OR]
      RewriteCond %{HTTP_USER_AGENT} EyeNetIE|fastlwspider|FavOrg|Favorites\ Sweeper|^Fetch|Fetch\ API\ Request|FEZhead|FileHound|flashget|FlashGet\ WebWasher|FlickBot|fluffy|frontpage|GalaxyBot|Generic|Getleft|GetRight|GetSmart|GetWeb!|GetWebPage|gigabaz|Girafabot|Go!Zilla|go-ahead-got-it|GornKer|Grabber|GrabNet|Grafula|Green\ Research|grub-client|grub\ crawler|GT\:\:WWW|hanzoweb|Harvest|hhjhj@yahoo|hloader|HMView|HomePageSearch|HTTPConnect|httpdown|httplib|HttpProxy|HTTP\ agent|http\ generic|HTTP\:\:Lite|HTTrack|ia_archive|IBM_Planetwide|imagefetch|Image\ Stripper|Image\ Sucker|IncyWincy|Indy\ Library|informant|Ingelin|InterGET|InternetLinkAgent|InternetSeer\.com|^Internet\ Explorer|Internet\ Ninja|IPiumBot|Iria|Irvine|Jakarta\ Commons|^Java\ 1.|^Java/1.|JBH*Agent [NC,OR]
      RewriteCond %{HTTP_USER_AGENT} JetCar|JOC|JOC\ Web\ Spider|JustView|Kapere|KWebGet|Lachesis|larbin|LeechFTP|LexiBot|lftp|libWeb|libwww|likse|Link*Sleuth|LINKS\ ARoMATIZED|LinkWalker|LWP|Mac\ Finder|Mag-Net|Magnet|Mass\ Downloader|MCspider|Microsoft\ URL|Microsoft\ Data|MIDown\ tool|minibot\(NaverRobot\)|Mirror|Missigua|Mister\ PiX|MJ12bot|MMMtoCrawl\/UrlDispatcherLLL|Movable\ Type|Moozilla|^Mozilla$|^MSIE|Murzillo|MSProxy|multithreaddb|nationaldirectory|Navroad|NearSite|NetAnts|NetCarta|NetMechanic|netprospector|NetResearchServer|NetSpider|NetZIP|NetZippy|NetZip\ Downloader|Net\ Vampire|NEWT|nicerspro|NICErsPRO|NPBot|NutchCVS|Nutscrape/|Octopus|Offline\ Explorer|Offline\ Navigator|OmniExplorer|OpaL|Openfind|OpenTextSiteCrawler [NC,OR]
      RewriteCond %{HTTP_USER_AGENT} OrangeBot|PackRat|PageGrabber|Papa\ Foto|pavuk|pcBrowser|PEAR|PersonaPilot|PingALink|Pockey|Program\ Shareware|Proxy|psbot|PSurf|psycheclone|^puf|Pump|PushSite|PussyCat|PycURL|python|QRVA|QuepasaCreep|RealDownload|Reaper|Recorder|ReGet|replacer|RepoMonkey|almaden|Robozilla|Rover|RPT-HTTPClient|Rsync|SearchExpress|searchhippo|searchterms\.it|Second\ Street\ Research|Seeker|Shai|sitecheck|SiteMapper|SiteSnagger|SlySearch|SmartDownload|snagger|SpaceBison|Spegla|SpiderBot|SqWorm|Star\ Downloader|Stripper|sucker|SuperBot|SuperHTTP|Surfbot|SurfWalker|SurveyBot|Szukacz|tAkeOut|tarspider|Teleport\ Pro|Telesoft|Templeton|TrackBack|TrueRobot|Turing|TurnitinBot [NC,OR]
      RewriteCond %{HTTP_USER_AGENT} TV33_Mercator|UIowaCrawler|URI\:\:Fetch|URL_Spider_Pro|^user|^User\ Agent:\ |^User-Agent:\ |UtilMind|Vacuum|vagabondo|vayala|visibilitygap|vobsub|VoidEYE|vspider|w3mir|WebaltBot|WebAuto|webbandit|WebCapture|Webclipping|webcollage|webcollector|WebCopier|webcraft@bea|WebDAV|webdevil|webdownloader|Webdup|WebEmailExtractor|WebFetch|WebGo\ IS|WebHook|Webinator|WebLeacher|WEBMASTERS|WebMiner|WebMirror|webmole|WebReaper|WebSauger|WEBsaver|Website\ eXtractor|Website\ Quester|WebSnake|Webster|WebStripper|websucker|webvac|webwalk|webweasel|WebWhacker|WebZIP|Web\ Data\ Extractor|Web\ Downloader|Web\ Image\ Collector|Web\ Sucker|web\.by\.mail|Wget|whizbang|WhosTalking|Widow|Widows|WISEbot|WISEnutbot|WUMPUS|Wweb|WWWOFFLE|Wysigot|x-Tractor|Xaldon\ WebSpider|XGET|Yandex|Zeus|Zeus.*Webster [NC]
      RewriteRule (.*) - [F]
      ### DES FAUX URLS, ON LES NEUTRALISE
      RedirectMatch gone ^/_vti.*
      RedirectMatch gone ^/MSOffice.*
      RedirectMatch gone ^[-_a-z0-9/\.]*//.*
      ##
      # @version $Id: htaccess.txt 10492 2008-07-02 06:38:28Z ircmaxell $
      # @package Joomla
      # @copyright Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
      # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
      # Joomla! is Free Software
      #######################################################
      #  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
      #
      # The line just below this section: 'Options +FollowSymLinks' may cause problems
      # with some server configurations.  It is required for use of mod_rewrite, but may already
      # be set by your server administrator in a way that dissallows changing it in
      # your .htaccess file.  If using it causes your server to error out, comment it out (add # to
      # beginning of line), reload your site in your browser and test your sef url's.  If they work,
      # it has been set by your server administrator and you do not need it set here.
      #
      #####################################################
      ##  Can be commented out if causes errors, see notes above.
      Options +FollowSymLinks
      #
      #  mod_rewrite in use
      RewriteEngine On
      ########## Begin - Rewrite rules to block out some common exploits
      ## If you experience problems on your site block out the operations listed below
      ## This attempts to block the most common type of exploit `attempts` to Joomla!
      #
      # Block out any script trying to set a mosConfig value through the URL
      RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
      # Block out any script trying to base64_encode crap to send via URL
      RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
      # Block out any script that includes a <script> tag in URL
      RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
      # Block out javascript
      RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
      # Block out
      RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
      # Block out any script trying to set a PHP GLOBALS variable via URL
      RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
      # Block out any script trying to modify a _REQUEST variable via URL
      RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
      # Block out
      RewriteCond %{QUERY_STRING} ^(.*)(SELECT|INSERT|DELETE|CHAR\(|UPDATE|REPLACE|LIMIT)(.*)$
      # Send all blocked request to homepage with 403 Forbidden error!
      RewriteRule ^(.*)$ index.php [F,L]
      #
      ########## End - Rewrite rules to block out some common exploits
      #  Uncomment following line if your webserver's URL
      #  is not directly related to physical file paths.
      #  Update Your Joomla! Directory (just / for root)
      RewriteBase /
      ########## Begin - Joomla! core SEF Section
      #
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteCond %{REQUEST_URI} !^/index.php
      RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$  [NC]
      RewriteRule (.*) index.php
      RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
      #
      ########## End - Joomla! core SEF Section
      Dernière édition par kanterbrau04 à 12/01/2009, 15h20

      Commentaire


      • #4
        Bonsoir,

        J'ai plusieurs sites hébergés chez OVH. Je te mets en fichier ZIP mon fichier htaccess sous format txt, de la racine du site. N'oublies pas de le renommer en .htaccess
        Fichiers joints
        Dernière édition par Tereva à 12/01/2009, 16h42
        Tereva
        Océan : masse d'eau occupant à peu près les deux tiers d'un monde destiné à l'homme - lequel est dépourvu de branchies - Ambrose Bierce -

        Commentaire


        • #5
          Merci Tereva,

          J'ai essayé avec ton .htaccess, ça ne marche pas non plus...c'est dingue

          Commentaire


          • #6
            As-tu bien reconfiguré le fichier configuration.php à la racine du site après passage du site en local au site en ligne ?
            Tereva
            Océan : masse d'eau occupant à peu près les deux tiers d'un monde destiné à l'homme - lequel est dépourvu de branchies - Ambrose Bierce -

            Commentaire


            • #7
              J'ai regardé le configuration.php, rien de particulier ne m'a interpellé, les paramètres de login, passwords, de BBD, etc.... sont apparemment cohérentes

              Code:
              <?php class JConfig {
              	var $offline = '0';
              	var $editor = 'tinymce';
              	var $list_limit = '100';
              	var $helpurl = 'http://help.joomla.org';
              	var $debug = '0';
              	var $debug_lang = '0';
              	var $sef = '1';
              	var $sef_rewrite = '1';
              	var $sef_suffix = '1';
              	var $feed_limit = '10';
              	var $secret = 'camembert et champignons';
              	var $gzip = '0';
              	var $error_reporting = '-1';
              	var $xmlrpc_server = '0';
              	var $log_path = 'url secret';
              	var $tmp_path = 'url secret';
              	var $live_site = '';
              	var $force_ssl = '0';
              	var $offset = '1';
              	var $caching = '0';
              	var $cachetime = '15';
              	var $cache_handler = 'file';
              	var $memcache_settings = array();
              	var $ftp_enable = '0';
              	var $ftp_host = '127.0.0.1';
              	var $ftp_port = '21';
              	var $ftp_user = '';
              	var $ftp_pass = '';
              	var $ftp_root = '';
              	var $dbtype = 'mysql';
              	var $host = 'secret';
              	var $user = 'secret';
              	var $db = 'secret';
              	var $dbprefix = 'jos_';
              	var $mailer = 'mail';
              	var $mailfrom = 'secret';
              	var $fromname = 'secret';
              	var $sendmail = '/usr/sbin/sendmail';
              	var $smtpauth = '0';
              	var $smtpuser = '';
              	var $smtppass = '';
              	var $smtphost = 'localhost';
              	var $MetaAuthor = '1';
              	var $MetaTitle = '1';
              	var $lifetime = '30';
              	var $session_handler = 'database';
              	var $password = 'secret';
              	var $sitename = 'Titre du site';
              	var $MetaDesc = 'Desc du site';
              	var $MetaKeys = 'mots, clés, du, site';
              	var $offline_message = '';
              }
              ?>
              PS: je ne me sers pas du FTP joomla qui est désactivé en backend

              Commentaire


              • #8
                Peut-être le chemin d'accès à ta base ?

                Je te l'envoie en MP.
                Tereva
                Océan : masse d'eau occupant à peu près les deux tiers d'un monde destiné à l'homme - lequel est dépourvu de branchies - Ambrose Bierce -

                Commentaire


                • #9
                  Suite à ta réponse en MP je suis sincèrement désolé de n'avoir pas pu te dépanner avec ma toute petite expérience mais j'aurai essayé

                  Bon courage pour la suite.
                  Tereva
                  Océan : masse d'eau occupant à peu près les deux tiers d'un monde destiné à l'homme - lequel est dépourvu de branchies - Ambrose Bierce -

                  Commentaire


                  • #10
                    T'inquietes pas
                    Je suis dessus le problème depuis 2/3 jours. en ayant tout fait
                    Je te remercie tout de même

                    Commentaire


                    • #11
                      Sans rire, essayes avec htpassword au lieu de htpasswd. J'ai eu un problème de ce type un jour sur un serveur. Ça fonctionnait pas avec htpasswd mais avec htpassword. Vraiment couillon cet Apache.

                      Commentaire


                      • #12
                        Hello merci pour le tuyau

                        mais ça ne marche toujours pas....

                        Commentaire


                        • #13
                          Essaye autre chose en attendant de trouver une solution à ce couple htaccess/htpasswd capricieux

                          Par exemple JSecure :

                          http://www.joomlafrance.org/telechar...ntication.html

                          Commentaire


                          • #14
                            Ok, merci
                            J'ai installé JSecure avec Sentinelle, un joli duo apparemment.
                            Quand j'aurai résolu mon problème j'apporterai la réponse, en attendant je chercher toujours

                            Commentaire


                            • #15
                              Réglé

                              ça marche!!!!!!!!!!!!!!!!!

                              J'ai suivi ce tuto: http://www.mmt-fr.org/article163.html et tout roule!

                              Merci à ceux (et à celles?) qui m'ont aidé!!!

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X