Attaques comment eradiquer ces deux IP

**manu93fr** · 03/04/2014, 15h45

Re : Attaques comment eradiquer ces deux IP

Bonjour,

les robots ou hackeur peuvent changer d'IP comme bon leur semblent ... donc deja, ce ne sera pas suffisant
J'ai compris que tu as installé Crawltract ... mais as tu installé Crawlprotect ? qui lui peut bloquer des adresses IP en quelques clics

Tu as aussi Aesecure comme protection GLOBALE ... et en prime, son developpeur traine sur ce forum avec nous ... donc accessible quand tu poseras tes questions

**bking1300** · 03/04/2014, 16h06

Re : Attaques comment eradiquer ces deux IP

Merci manu93fr pour ta réponse.

Non je n'ai pas installé Crawlprotect. Mais j'ai installé Crawltract à cause des redirections ...

Je sais que les robots ou hackeur peuvent changer d'IP, mais celles là sont répertoriées depuis un moment..

Merci

**webcrea** · 03/04/2014, 16h58

Re : Attaques comment eradiquer ces deux IP

dans le .htaccess ajoute

order allow,deny
deny from 175.42
allow from all

là j'ai indiqué une plage d'ip mais tu peux entrer une ip complète

**bking1300** · 03/04/2014, 17h31

Re : Attaques comment eradiquer ces deux IP

Merci webcrea

Mais en cas de pluralité d'IP on répète la même chose ou on peut faire comme cela par exemple

order allow,deny
deny from 175.42
deny from 172.10
allow from all

Merci

**manu93fr** · 03/04/2014, 18h29

Re : Attaques comment eradiquer ces deux IP

Google est ton ami

regarde ici

Crawlprotect (puisque tu connais deja Crawltrack) bloque les ips juste en les sélectionnant

**cavo789** · 03/04/2014, 18h42

Re : Attaques comment eradiquer ces deux IP

Bonsoir

Envoyé par bking1300 Voir le message

Je viens de subir deux attaques mais elles n'ont pas aboutis

Des "attaques" comme celles-là, c'est tellement basique que ce ne sont plus des attaques. Tu as un script "idiot" qui tente à l'aveugle d'accéder à des fichiers sensibles. Cette fois le script est passé par ton site, demain ce sera le mien et après demain celui de manu et de centaines de milliers d'autres personnes. Grâve ? Non, ridicule en fait. C'est tellement basique que si cela devrait passer, ouille ouille, ton serveur web est une passoire absolue.

A ta place, ce n'est pas les IP que je bloquerais mais l'url. En *aucun* cas une url doit contenir /etc/passwd. En aucun cas.

aeSecure bloque ces urls et bien d'autres "nativement", il suffit d'installer la version gratuite, d'activer l'option 1.1 "Mise en place du fichier .htaccess d'aeSecure" pour être protégé.

Cela ne vaut même pas la peine de monitorer ces "attaques" idiotes.

Paramètres utilisés pour les tentatives d'injection de code:
print=
return=
start=
tmpl=
value=
view=

Là, c'est un peu n'importe quoi : ces paramètres sont normaux et sains sous Joomla. Faut juste voir le contenu (la valeur de la variable) mais la présence des paramètres n'est en soit aucunement assimilable à une attaque.

Bonne soirée.

**bking1300** · 03/04/2014, 23h55

Re : Attaques comment eradiquer ces deux IP

Bonsoir et merci cavo789,

Je veux bien bloquer l'url sauf que là on en est a 184 URL sur ce coup là.

J'ai installé Crawlprotect pour les redirection à la pelle que j'avais et il a fait son travail et a aussi bloquer ce truc.

Je vais regarder ce que vous m'avez dit et appliquer ce qu'il faut.

Merci

**cavo789** · 04/04/2014, 07h51

Re : Attaques comment eradiquer ces deux IP

Envoyé par bking1300 Voir le message

Je veux bien bloquer l'url sauf que là on en est a 184 URL sur ce coup là.

Ben non, il faut bloquer "toutes" les urls dès lors que /etc/passwd apparaît dans l'url. Un seul blocage.

Un truc du style :

Code:

RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd* [OR]
RewriteRule ^(.*)$ - [F,L]

qui enverra paître toutes personnes tentant une url qui contient etc/passwd

**vicente83** · 03/06/2014, 13h22

Re : Attaques comment eradiquer ces deux IP

Bonjour,
je suis attaqué par un HackPharma.
Après avoir nettoyé les fichiers, je me suis attaqué à la base de données.
J'ai trouvé de nombreuses injections dans la table xxx_redirect_links de type ../../../../etc/passwd
Lorsque j'essaie d'introduire le code "RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd* [OR]
RewriteRule ^(.*)$ - [F,L]" dans le .htaccess, le site devient inaccessible (erreur 500).

**cavo789** · 03/06/2014, 13h28

Re : Attaques comment eradiquer ces deux IP

Oups... le [OR] est en trop sur la première ligne.

Note bien qu'il s'agit de deux lignes différentes; pas une seule.

Note aussi qu'il n'y a pas d'injections, c'est juste une url qui a été adressée à ton site et qui a résultée en une page 404 (d'où sa présence dans le composant de redirections de Joomla) ==> il n'y a pas eu une attaque mais une tentative. Maintenant rien ne prouve que l'attaque n'a pas réussi par ailleurs mais pas sur base de cette url-là.

**vicente83** · 04/06/2014, 09h54

Re : Attaques comment eradiquer ces deux IP

Merci,
j'ai modifié mon .htaccess et je surveille. Le site est bien infecté par un hack pharma (pour info www.ville-draguignan.fr)

**vicente83** · 04/06/2014, 14h06

Re : Attaques comment eradiquer ces deux IP

Bonjour,
Les urls de type "../../../../etc/passwd" dans la table xxx_redirect_links n'apparaissent plus.
Toutefois d'autres url viennent polluer cette table. Des mots clés apparaissent dans ces url : "******, cialis..." (environ une dizaine de mots clés récurrents). Si j'ai bien compris la syntaxe "RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd*", un test est passé sur une chaîne de caractères présente dans une url. La syntaxe suivante serait elle juste et efficace?
"RewriteCond %{QUERY_STRING} ^(.*)*cialis*

Attaques comment eradiquer ces deux IP

Attaques comment eradiquer ces deux IP

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association