Re : Requete POST //

administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php

dans le dossier administrator de ton site, tu n as pas un dossier components et avec a l interieur un dossier com_jnewsletter ?
tu n utilise pas cette extension de letre d informations?

Re : Requete POST //

Non je n'ai pas de dossier com_jnewsletter dans /administrator/components
ni de dossier : com_jinc ,com_civicrm ,com_maianmedia dans /administrator/components et pour lesquels j'ai également des requetes POST avec code retour 200.

Ce qui m'interpelle c'est le // de la requete POST (POST //administrator/.....

Re : Requete POST //

Bonjour

Toutes ces extensions comprennent une librairie php-ofc-library que le hackeur essaie d'exploiter.

Si ces extensions ne sont pas installées sur ton site, ces attaques (puisque c'en sont) ne feront rien de mal. Il s'agit ici d'un script qui accède à de multiples sites (dont les miens) et qui, au mieux, polluent les logfiles.

Rien de bien méchant donc ici. Mais vérifie, si cela t'est possible, si l'adresse IP qui a lancé ces attaques n'aurait pas lancé d'autres attaques qui auraient un code HTTP 200 et avec une url malsaine car là, tu pourrais commencer à te demander ce qu'il a pû faire. Pour info, un code 200 signifie que ton serveur web a traité la requête.

Re : Requete POST //

Bonjour,

Normalement si il y a une requête vers un fichier qui n'existe pas , la requête ne pouvant pas être traité , il y a une erreur , ce que j'ai avec d'autre POST sur des fichiers inexistant.
Ou le fichier a bien été crée et ensuite supprimé .

Re : Requete POST //

Bonjour

Je n'ai pas fais attention au fait que tu avais un code 200; chez moi ils sont tous en 404 ou autre (403 puisque j'ai une règle .htaccess qui interdit l'accès à un tel fichier).

J'ai des attaques de ce type (cad GET ou POST sur openflashchart) tous les jours et par dizaine. Je suis absolument certain qu'aucune attaque n'est passée; aucune n'étant en statut 200 et je surveille les fichiers ajoutés / modifiés sur mon site et non, rien.

Pour te répondre, il est possible que le fichier ait été supprimé après mais je doute que cela soit le cas; un hacker ne va pas s'amuser à créer toute une arborescence (/administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/) pour aller planquer un fichier. Il le place dans des dossiers connus comme /administrator/components/com_admin, /media/, /images, ...

Mon intuition : ces lignes de ton log sont étonnantes à cause de leur status mais je doute fort qu'une attaque ait réussie par ce moyen.

Bonne journée.

Re : Requete POST //

Bonjour,

Je n'ai pas eu d'attaque par ce moyen.
Chez moi ils sont tous en 604.
Mais ce qui m'intrique c'est le // ,cela ne semble peut être pas la racine de mon site , mais le répertoire au-dessus chez mon hébergeur (ovh) ?
J'ai limité l’accès aux IP de FR et USA (pour google). J'ai eu une attaque d'Ukraine

Merci

Re : Requete POST //

Non, // dénote une erreur dans le script qui attaque ton site; on s'en moque

Pour remonter d'un dossier, c'est ../ (il faut utiliser le double . qui signifie dossier parent).

Re : Requete POST //

Bonsoir,
Effectivement pour remonter c'est le .., mais je cherche a savoir pourquoi le cr est de 200 sur des fichiers inexistants.
Je suis plus tranquille maintenant que j'ai verrouillé le site pour les IP étrangères, car je regarde tous les jours les logs et c'est effarent le nombre de requêtes sur les fichiers .php , et plus précisément sur administrator/index.php.

Encore merci pour tes infos

Re : Requete POST //

Je regarde à fond mes logs chaque jour depuis deux semaines. Oui, c'est éffarant voir même amusant de voir les tentatives qui sont faites. Par exemple, tonsite/_backups/ ou tonsite/backup.zip pour essayer de trouver des backups. L'imagination des hackeurs n'a pas de limite

Pour ton admin, je te propose, si tu as une adresse IP fixe, de définitivement régler le problème en plaçant un .htaccess à la racine de ton dossier et de n'autoriser que ton IP (plus d'autres). Ainsi, tout ces petits malins seront réorientés par Apache vers une page Access denied (code HTTP 403).

Si tu n'as pas d'IP fixe, tu peux mettre un mot de passe au travers de l'utilisation d'un fichier .htpasswd.

Bonne journée.

Re : Requete POST //

Petite idée en passant : aurais-tu le plugin de langue qui serait actif ?

Lorsque tu tentes toi-même d'accéder à cette url, est-ce que est redirigé vers une autre url (peu importe le code ensuite). Si tu es redirigé, alors je me demande si le premier code http enregistré dans le log ne serait pas le code 200.