Vulnérabilité sur Evolution Generation

[manoa.ratefiarison]

Bonjour!
J'aimerai tester mon site Web, car je suis plus ou moins sûr qu'il y a une grande vulnérabilité (malheureusement, je ne sais pas où il est ) Je viens donc cherche de l'aide.
Mon site Web: http://www.evolution-generation.tk

Il a été réalisé à partir d'un forum classique en phpBB 3.0.12.

Des fois, j'arrive à avoir le CPU à 100% quand des adresses IP suspects y viennent.

[Sh4dows]

Il nous faudrait une page web (un truc très simple) héberger sur ton site, disant grosso modo que tu autorises la communauté N-PN à faire des audits de sécurité sur les services que tu proposes.

Sinon concernant le cpu à 100% il y a un truc sur Korben, tu peux essayer http://korben.info/comment-trouver-quell...rveur.html

[gruik]

si il y a une faille avérée, sous-entendu que le site/la machine s'est déjà fait pirater au moins une fois, ou s'il ne s'agit que d'un problème de cpu à 100% ça relève de l'administration du système et pas d'un audit de sécurité

à priori http://www.evolution-generation.tk/ est hébergé sur la même machine que beaucoup d'autres sites comme http://photovitaliy.com/ , http://founderswap.biz/ , http://www.texpeak.com/ etc. on peut envisager qu'il s'agit d'un serveur mutualisé, auquel cas la règle est simple : la (non-)sécurité d'un seul de ces site peut compromettre celle de tous les autres, le tiens y compris, autant te le dire tout de suite on ne va de toutes façons pas faire un audit de chaque site

en priorité il convient de regarder/recouper les logs pour tenter d'identifier des traces du problème et éventuellement remonter à sa source
s'il ne s'agit que d'une montée un peu accrue du cpu ça peut s'expliquer de pleins de manières, pas de mystère il faut connaitre un peu linux, l'administration système, et investiguer
à titre d'exemple l'option %D de la directive LogFormat d'Apache permet d'écrire sur chaque ligne de log le temps mis par Apache pour traiter la requête en millisecondes, ça peut être utile... si tu as accès à la conf Apache évidement

[Di0Sasm]

Site Mutualisé ne nous permet de faire les tests comme il ne t'appartient pas (comme un dédié (abus de langage mais bref) ou sur t'as machine perso) et il y'a des risques de toucher les sites qui non rien demandé sur la même BDD, donc en cas de test qui pourrais mal ce passer, on pourrait avoir des soucis tout comme toi.

Ou tu le host ailleurs en perso ou sinon vos mieux laisser tomber.


++

[manoa.ratefiarison]

Bon, d'accord! Je vire en dédié. D'ailleurs, je suis en plein construction de mon propre datacenter (prévu en marche le 22/12/2013). Et pour le truc n-pn.html, je me demande bien pourquoi il a disparu, alors que je l'ai uploadé.