Joomladay francophone 2018 à Paris 18 et 19 mai

Attaques comment eradiquer ces deux IP

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Attaques comment eradiquer ces deux IP

    Bonjour,

    N'étant pas un spécialiste mais je pense que ma question va servir à tout le monde

    Je viens de subir deux attaques mais elles n'ont pas aboutis

    La première de l'IP 91.191.172.122

    et crawltrack me dit cela

    Vous pouvez être exposé si vous utilisez un de ces scripts:

    Là on crawltrack donne 3 données, mais je ne peux les mettre ici



    Paramètres utilisés pour les tentatives d'injection de code:
    print=
    return=
    start=
    tmpl=
    value=
    view=

    Fichier/script que le hacker a tenté d'injecter:
    /etc/passwd

    /etc/passwd
    ../../../../../../../../../../etc/passwd
    /../../../../../../../../../../etc/passwd
    ../../../../../../../../../../etc/passwd
    /../../../../../../../../../../etc/passwd

    et la deuxième de 212.174.56.114

    et crawltrack me dit cela

    Vous pouvez être exposé si vous utilisez un de ces scripts:
    ?


    Paramètres utilisés pour les tentatives d'injection de code:
    start=
    task=

    Fichier/script que le hacker a tenté d'injecter:
    /etc/passwd

    /etc/passwd
    ../../../../../../../../../../etc/passwd
    /../../../../../../../../../../etc/passwd
    ../../../../../../../../../../etc/passwd

    Dans un cas comme dans l'autre que dis je faire pour les bloquer définitivement ?

    Cordialement,
    Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

  • #2
    Re : Attaques comment eradiquer ces deux IP

    Bonjour,

    les robots ou hackeur peuvent changer d'IP comme bon leur semblent ... donc deja, ce ne sera pas suffisant
    J'ai compris que tu as installé Crawltract ... mais as tu installé Crawlprotect ? qui lui peut bloquer des adresses IP en quelques clics

    Tu as aussi Aesecure comme protection GLOBALE ... et en prime, son developpeur traine sur ce forum avec nous ... donc accessible quand tu poseras tes questions
    JoomlaDay ... moi j'y serai .. et vous ???
    Avec Ghazal et Lomart nous guiderons les Grands Débutants au https://www.joomladay.fr/ le 19 mai à Paris
    C'est le moment ou jamais de venir acquérir ou consolider les bases de ce CMS formidable primé à maintes reprises
    ... et tout ça dans le partage, la convivialité et la bonne humeur !

    Commentaire


    • #3
      Re : Attaques comment eradiquer ces deux IP

      Merci manu93fr pour ta réponse.

      Non je n'ai pas installé Crawlprotect. Mais j'ai installé Crawltract à cause des redirections ...

      Je sais que les robots ou hackeur peuvent changer d'IP, mais celles là sont répertoriées depuis un moment..

      Merci
      Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

      Commentaire


      • #4
        Re : Attaques comment eradiquer ces deux IP

        dans le .htaccess ajoute

        order allow,deny
        deny from 175.42
        allow from all

        là j'ai indiqué une plage d'ip mais tu peux entrer une ip complète
        Christophe
        http://www.webcrea.fr

        Commentaire


        • #5
          Re : Attaques comment eradiquer ces deux IP

          Merci webcrea

          Mais en cas de pluralité d'IP on répète la même chose ou on peut faire comme cela par exemple

          order allow,deny
          deny from 175.42
          deny from 172.10
          allow from all

          Merci
          Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

          Commentaire


          • #6
            Re : Attaques comment eradiquer ces deux IP

            Google est ton ami
            regarde ici

            Crawlprotect (puisque tu connais deja Crawltrack) bloque les ips juste en les sélectionnant
            JoomlaDay ... moi j'y serai .. et vous ???
            Avec Ghazal et Lomart nous guiderons les Grands Débutants au https://www.joomladay.fr/ le 19 mai à Paris
            C'est le moment ou jamais de venir acquérir ou consolider les bases de ce CMS formidable primé à maintes reprises
            ... et tout ça dans le partage, la convivialité et la bonne humeur !

            Commentaire


            • #7
              Re : Attaques comment eradiquer ces deux IP

              Bonsoir

              Envoyé par bking1300 Voir le message
              Je viens de subir deux attaques mais elles n'ont pas aboutis
              Des "attaques" comme celles-là, c'est tellement basique que ce ne sont plus des attaques. Tu as un script "idiot" qui tente à l'aveugle d'accéder à des fichiers sensibles. Cette fois le script est passé par ton site, demain ce sera le mien et après demain celui de manu et de centaines de milliers d'autres personnes. Grâve ? Non, ridicule en fait. C'est tellement basique que si cela devrait passer, ouille ouille, ton serveur web est une passoire absolue.

              A ta place, ce n'est pas les IP que je bloquerais mais l'url. En *aucun* cas une url doit contenir /etc/passwd. En aucun cas.

              aeSecure bloque ces urls et bien d'autres "nativement", il suffit d'installer la version gratuite, d'activer l'option 1.1 "Mise en place du fichier .htaccess d'aeSecure" pour être protégé.

              Cela ne vaut même pas la peine de monitorer ces "attaques" idiotes.

              Paramètres utilisés pour les tentatives d'injection de code:
              print=
              return=
              start=
              tmpl=
              value=
              view=
              Là, c'est un peu n'importe quoi : ces paramètres sont normaux et sains sous Joomla. Faut juste voir le contenu (la valeur de la variable) mais la présence des paramètres n'est en soit aucunement assimilable à une attaque.

              Bonne soirée.
              Christophe (cavo789)
              Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
              Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

              Venez rencontrer la communauté francophone à l'occasion du JoomlaDay 2018 qui se tiendra les 18 et 19 mai 2018. Plus d'infos sur https://www.joomladay.fr

              Commentaire


              • #8
                Re : Attaques comment eradiquer ces deux IP

                Bonsoir et merci cavo789,

                Je veux bien bloquer l'url sauf que là on en est a 184 URL sur ce coup là.

                J'ai installé Crawlprotect pour les redirection à la pelle que j'avais et il a fait son travail et a aussi bloquer ce truc.

                Je vais regarder ce que vous m'avez dit et appliquer ce qu'il faut.

                Merci
                Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

                Commentaire


                • #9
                  Re : Attaques comment eradiquer ces deux IP

                  Envoyé par bking1300 Voir le message
                  Je veux bien bloquer l'url sauf que là on en est a 184 URL sur ce coup là.
                  Ben non, il faut bloquer "toutes" les urls dès lors que /etc/passwd apparaît dans l'url. Un seul blocage.

                  Un truc du style :

                  Code:
                  RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd* [OR]
                  RewriteRule ^(.*)$ - [F,L]
                  qui enverra paître toutes personnes tentant une url qui contient etc/passwd
                  Christophe (cavo789)
                  Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                  Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                  Venez rencontrer la communauté francophone à l'occasion du JoomlaDay 2018 qui se tiendra les 18 et 19 mai 2018. Plus d'infos sur https://www.joomladay.fr

                  Commentaire


                  • #10
                    Re : Attaques comment eradiquer ces deux IP

                    Bonjour,
                    je suis attaqué par un HackPharma.
                    Après avoir nettoyé les fichiers, je me suis attaqué à la base de données.
                    J'ai trouvé de nombreuses injections dans la table xxx_redirect_links de type ../../../../etc/passwd
                    Lorsque j'essaie d'introduire le code "RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd* [OR]
                    RewriteRule ^(.*)$ - [F,L]" dans le .htaccess, le site devient inaccessible (erreur 500).

                    Commentaire


                    • #11
                      Re : Attaques comment eradiquer ces deux IP

                      Oups... le [OR] est en trop sur la première ligne.

                      Note bien qu'il s'agit de deux lignes différentes; pas une seule.

                      Note aussi qu'il n'y a pas d'injections, c'est juste une url qui a été adressée à ton site et qui a résultée en une page 404 (d'où sa présence dans le composant de redirections de Joomla) ==> il n'y a pas eu une attaque mais une tentative. Maintenant rien ne prouve que l'attaque n'a pas réussi par ailleurs mais pas sur base de cette url-là.
                      Christophe (cavo789)
                      Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
                      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes

                      Venez rencontrer la communauté francophone à l'occasion du JoomlaDay 2018 qui se tiendra les 18 et 19 mai 2018. Plus d'infos sur https://www.joomladay.fr

                      Commentaire


                      • #12
                        Re : Attaques comment eradiquer ces deux IP

                        Merci,
                        j'ai modifié mon .htaccess et je surveille. Le site est bien infecté par un hack pharma (pour info www.ville-draguignan.fr)

                        Commentaire


                        • #13
                          Re : Attaques comment eradiquer ces deux IP

                          Bonjour,
                          Les urls de type "../../../../etc/passwd" dans la table xxx_redirect_links n'apparaissent plus.
                          Toutefois d'autres url viennent polluer cette table. Des mots clés apparaissent dans ces url : "******, cialis..." (environ une dizaine de mots clés récurrents). Si j'ai bien compris la syntaxe "RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd*", un test est passé sur une chaîne de caractères présente dans une url. La syntaxe suivante serait elle juste et efficace?
                          "RewriteCond %{QUERY_STRING} ^(.*)*cialis*

                          Commentaire

                          Annonce

                          Réduire
                          1 sur 2 < >

                          C'est [Réglé] et on n'en parle plus ?

                          A quoi ça sert ?
                          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                          Comment ajouter la mention [Réglé] à votre discussion ?
                          1 - Aller sur votre discussion et éditer votre premier message :


                          2 - Cliquer sur la liste déroulante Préfixe.

                          3 - Choisir le préfixe [Réglé].


                          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                          2 sur 2 < >

                          Assistance au forum - Outil de publication d'infos de votre site

                          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                          UTILISER À VOS PROPRES RISQUES :
                          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                          Problèmes connus :
                          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                          Installation :

                          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                          Archive zip : https://github.com/AFUJ/FPA/zipball/master

                          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                          et remplacer www. votresite .com par votre nom de domaine


                          Exemples:
                          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/
                          Pour executer le script: http://www..com/fpa-fr.php

                          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/cms/
                          Pour executer le script: http://www..com/cms/fpa-fr.php

                          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                          Voir plus
                          Voir moins
                          Travaille ...
                          X