Attaques comment eradiquer ces deux IP

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Attaques comment eradiquer ces deux IP

    Bonjour,

    N'étant pas un spécialiste mais je pense que ma question va servir à tout le monde

    Je viens de subir deux attaques mais elles n'ont pas aboutis

    La première de l'IP 91.191.172.122

    et crawltrack me dit cela

    Vous pouvez être exposé si vous utilisez un de ces scripts:

    Là on crawltrack donne 3 données, mais je ne peux les mettre ici



    Paramètres utilisés pour les tentatives d'injection de code:
    print=
    return=
    start=
    tmpl=
    value=
    view=

    Fichier/script que le hacker a tenté d'injecter:
    /etc/passwd

    /etc/passwd
    ../../../../../../../../../../etc/passwd
    /../../../../../../../../../../etc/passwd
    ../../../../../../../../../../etc/passwd
    /../../../../../../../../../../etc/passwd

    et la deuxième de 212.174.56.114

    et crawltrack me dit cela

    Vous pouvez être exposé si vous utilisez un de ces scripts:
    ?


    Paramètres utilisés pour les tentatives d'injection de code:
    start=
    task=

    Fichier/script que le hacker a tenté d'injecter:
    /etc/passwd

    /etc/passwd
    ../../../../../../../../../../etc/passwd
    /../../../../../../../../../../etc/passwd
    ../../../../../../../../../../etc/passwd

    Dans un cas comme dans l'autre que dis je faire pour les bloquer définitivement ?

    Cordialement,
    Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

  • #2
    Re : Attaques comment eradiquer ces deux IP

    Bonjour,

    les robots ou hackeur peuvent changer d'IP comme bon leur semblent ... donc deja, ce ne sera pas suffisant
    J'ai compris que tu as installé Crawltract ... mais as tu installé Crawlprotect ? qui lui peut bloquer des adresses IP en quelques clics

    Tu as aussi Aesecure comme protection GLOBALE ... et en prime, son developpeur traine sur ce forum avec nous ... donc accessible quand tu poseras tes questions
    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
    Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

    Commentaire


    • #3
      Re : Attaques comment eradiquer ces deux IP

      Merci manu93fr pour ta réponse.

      Non je n'ai pas installé Crawlprotect. Mais j'ai installé Crawltract à cause des redirections ...

      Je sais que les robots ou hackeur peuvent changer d'IP, mais celles là sont répertoriées depuis un moment..

      Merci
      Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

      Commentaire


      • #4
        Re : Attaques comment eradiquer ces deux IP

        dans le .htaccess ajoute

        order allow,deny
        deny from 175.42
        allow from all

        là j'ai indiqué une plage d'ip mais tu peux entrer une ip complète
        Christophe
        http://www.webcrea.fr

        Commentaire


        • #5
          Re : Attaques comment eradiquer ces deux IP

          Merci webcrea

          Mais en cas de pluralité d'IP on répète la même chose ou on peut faire comme cela par exemple

          order allow,deny
          deny from 175.42
          deny from 172.10
          allow from all

          Merci
          Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

          Commentaire


          • #6
            Re : Attaques comment eradiquer ces deux IP

            Google est ton ami
            regarde ici

            Crawlprotect (puisque tu connais deja Crawltrack) bloque les ips juste en les sélectionnant
            Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
            Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

            Commentaire


            • #7
              Re : Attaques comment eradiquer ces deux IP

              Bonsoir

              Envoyé par bking1300 Voir le message
              Je viens de subir deux attaques mais elles n'ont pas aboutis
              Des "attaques" comme celles-là, c'est tellement basique que ce ne sont plus des attaques. Tu as un script "idiot" qui tente à l'aveugle d'accéder à des fichiers sensibles. Cette fois le script est passé par ton site, demain ce sera le mien et après demain celui de manu et de centaines de milliers d'autres personnes. Grâve ? Non, ridicule en fait. C'est tellement basique que si cela devrait passer, ouille ouille, ton serveur web est une passoire absolue.

              A ta place, ce n'est pas les IP que je bloquerais mais l'url. En *aucun* cas une url doit contenir /etc/passwd. En aucun cas.

              aeSecure bloque ces urls et bien d'autres "nativement", il suffit d'installer la version gratuite, d'activer l'option 1.1 "Mise en place du fichier .htaccess d'aeSecure" pour être protégé.

              Cela ne vaut même pas la peine de monitorer ces "attaques" idiotes.

              Paramètres utilisés pour les tentatives d'injection de code:
              print=
              return=
              start=
              tmpl=
              value=
              view=
              Là, c'est un peu n'importe quoi : ces paramètres sont normaux et sains sous Joomla. Faut juste voir le contenu (la valeur de la variable) mais la présence des paramètres n'est en soit aucunement assimilable à une attaque.

              Bonne soirée.
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire


              • #8
                Re : Attaques comment eradiquer ces deux IP

                Bonsoir et merci cavo789,

                Je veux bien bloquer l'url sauf que là on en est a 184 URL sur ce coup là.

                J'ai installé Crawlprotect pour les redirection à la pelle que j'avais et il a fait son travail et a aussi bloquer ce truc.

                Je vais regarder ce que vous m'avez dit et appliquer ce qu'il faut.

                Merci
                Avoir la volonté d'apprendre, c'est prendre le chemin de la connaissance !

                Commentaire


                • #9
                  Re : Attaques comment eradiquer ces deux IP

                  Envoyé par bking1300 Voir le message
                  Je veux bien bloquer l'url sauf que là on en est a 184 URL sur ce coup là.
                  Ben non, il faut bloquer "toutes" les urls dès lors que /etc/passwd apparaît dans l'url. Un seul blocage.

                  Un truc du style :

                  Code:
                  RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd* [OR]
                  RewriteRule ^(.*)$ - [F,L]
                  qui enverra paître toutes personnes tentant une url qui contient etc/passwd
                  Christophe (cavo789)
                  Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                  Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                  Commentaire


                  • #10
                    Re : Attaques comment eradiquer ces deux IP

                    Bonjour,
                    je suis attaqué par un HackPharma.
                    Après avoir nettoyé les fichiers, je me suis attaqué à la base de données.
                    J'ai trouvé de nombreuses injections dans la table xxx_redirect_links de type ../../../../etc/passwd
                    Lorsque j'essaie d'introduire le code "RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd* [OR]
                    RewriteRule ^(.*)$ - [F,L]" dans le .htaccess, le site devient inaccessible (erreur 500).

                    Commentaire


                    • #11
                      Re : Attaques comment eradiquer ces deux IP

                      Oups... le [OR] est en trop sur la première ligne.

                      Note bien qu'il s'agit de deux lignes différentes; pas une seule.

                      Note aussi qu'il n'y a pas d'injections, c'est juste une url qui a été adressée à ton site et qui a résultée en une page 404 (d'où sa présence dans le composant de redirections de Joomla) ==> il n'y a pas eu une attaque mais une tentative. Maintenant rien ne prouve que l'attaque n'a pas réussi par ailleurs mais pas sur base de cette url-là.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire


                      • #12
                        Re : Attaques comment eradiquer ces deux IP

                        Merci,
                        j'ai modifié mon .htaccess et je surveille. Le site est bien infecté par un hack pharma (pour info www.ville-draguignan.fr)

                        Commentaire


                        • #13
                          Re : Attaques comment eradiquer ces deux IP

                          Bonjour,
                          Les urls de type "../../../../etc/passwd" dans la table xxx_redirect_links n'apparaissent plus.
                          Toutefois d'autres url viennent polluer cette table. Des mots clés apparaissent dans ces url : "******, cialis..." (environ une dizaine de mots clés récurrents). Si j'ai bien compris la syntaxe "RewriteCond %{QUERY_STRING} ^(.*)*etc/passwd*", un test est passé sur une chaîne de caractères présente dans une url. La syntaxe suivante serait elle juste et efficace?
                          "RewriteCond %{QUERY_STRING} ^(.*)*cialis*

                          Commentaire

                          Annonce

                          Réduire
                          Aucune annonce pour le moment.

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X