Requete POST //

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Requete POST //

    Bonjour,

    Après un hack de mon site avec des base64_decode j'ai pu le rétablir mais je trouve dans le fichier log de Appache ce type de requete POST qui a ete effectué (code retour 200)

    "POST //administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php?name=lobex21.php HTTP/1.1" 200 29247 "-" "libwww-perl/5.833"

    ou se trouve le répertoire // ? cela ne semble pas être un repertoire nommé "espace" ??
    Je n'ai pas d'acces avec SSH , uniquement ftp , et je ne trouve pas de repertoire com_jnewsletter ni de fichier ofc_upload_image.php


    Je suis en joomla 2.5.11 et le menu admin m'indique que joomla est a jour!! , je vais passe en 2.5.24.
    Merci

  • #2
    Re : Requete POST //

    administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/ofc_upload_image.php

    dans le dossier administrator de ton site, tu n as pas un dossier components et avec a l interieur un dossier com_jnewsletter ?
    tu n utilise pas cette extension de letre d informations?

    Commentaire


    • #3
      Re : Requete POST //

      Envoyé par lefabdu51 Voir le message

      dans le dossier administrator de ton site, tu n as pas un dossier components et avec a l interieur un dossier com_jnewsletter ?
      tu n utilise pas cette extension de letre d informations?
      Non je n'ai pas de dossier com_jnewsletter dans /administrator/components
      ni de dossier : com_jinc ,com_civicrm ,com_maianmedia dans /administrator/components et pour lesquels j'ai également des requetes POST avec code retour 200.

      Ce qui m'interpelle c'est le // de la requete POST (POST //administrator/.....

      Commentaire


      • #4
        Re : Requete POST //

        Bonjour

        Toutes ces extensions comprennent une librairie php-ofc-library que le hackeur essaie d'exploiter.

        Si ces extensions ne sont pas installées sur ton site, ces attaques (puisque c'en sont) ne feront rien de mal. Il s'agit ici d'un script qui accède à de multiples sites (dont les miens) et qui, au mieux, polluent les logfiles.

        Rien de bien méchant donc ici. Mais vérifie, si cela t'est possible, si l'adresse IP qui a lancé ces attaques n'aurait pas lancé d'autres attaques qui auraient un code HTTP 200 et avec une url malsaine car là, tu pourrais commencer à te demander ce qu'il a pû faire. Pour info, un code 200 signifie que ton serveur web a traité la requête.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Requete POST //

          Bonjour,

          Normalement si il y a une requête vers un fichier qui n'existe pas , la requête ne pouvant pas être traité , il y a une erreur , ce que j'ai avec d'autre POST sur des fichiers inexistant.
          Ou le fichier a bien été crée et ensuite supprimé .

          Commentaire


          • #6
            Re : Requete POST //

            Bonjour

            Je n'ai pas fais attention au fait que tu avais un code 200; chez moi ils sont tous en 404 ou autre (403 puisque j'ai une règle .htaccess qui interdit l'accès à un tel fichier).

            J'ai des attaques de ce type (cad GET ou POST sur openflashchart) tous les jours et par dizaine. Je suis absolument certain qu'aucune attaque n'est passée; aucune n'étant en statut 200 et je surveille les fichiers ajoutés / modifiés sur mon site et non, rien.

            Pour te répondre, il est possible que le fichier ait été supprimé après mais je doute que cela soit le cas; un hacker ne va pas s'amuser à créer toute une arborescence (/administrator/components/com_jnewsletter/includes/openflashchart/php-ofc-library/) pour aller planquer un fichier. Il le place dans des dossiers connus comme /administrator/components/com_admin, /media/, /images, ...

            Mon intuition : ces lignes de ton log sont étonnantes à cause de leur status mais je doute fort qu'une attaque ait réussie par ce moyen.

            Bonne journée.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Requete POST //

              Bonjour,

              Je n'ai pas eu d'attaque par ce moyen.
              Chez moi ils sont tous en 604.
              Mais ce qui m'intrique c'est le // ,cela ne semble peut être pas la racine de mon site , mais le répertoire au-dessus chez mon hébergeur (ovh) ?
              J'ai limité l’accès aux IP de FR et USA (pour google). J'ai eu une attaque d'Ukraine

              Merci
              Dernière édition par roland38 à 11/08/2014, 15h12

              Commentaire


              • #8
                Re : Requete POST //

                Envoyé par roland38 Voir le message
                Mais ce qui m'intrique c'est le // ,cela ne semble peut être pas la racine de mon site , mais le répertoire au-dessus chez mon hébergeur (ovh) ?
                Non, // dénote une erreur dans le script qui attaque ton site; on s'en moque

                Pour remonter d'un dossier, c'est ../ (il faut utiliser le double . qui signifie dossier parent).
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Requete POST //

                  Bonsoir,
                  Effectivement pour remonter c'est le .., mais je cherche a savoir pourquoi le cr est de 200 sur des fichiers inexistants.
                  Je suis plus tranquille maintenant que j'ai verrouillé le site pour les IP étrangères, car je regarde tous les jours les logs et c'est effarent le nombre de requêtes sur les fichiers .php , et plus précisément sur administrator/index.php.

                  Encore merci pour tes infos

                  Commentaire


                  • #10
                    Re : Requete POST //

                    Je regarde à fond mes logs chaque jour depuis deux semaines. Oui, c'est éffarant voir même amusant de voir les tentatives qui sont faites. Par exemple, tonsite/_backups/ ou tonsite/backup.zip pour essayer de trouver des backups. L'imagination des hackeurs n'a pas de limite

                    Pour ton admin, je te propose, si tu as une adresse IP fixe, de définitivement régler le problème en plaçant un .htaccess à la racine de ton dossier et de n'autoriser que ton IP (plus d'autres). Ainsi, tout ces petits malins seront réorientés par Apache vers une page Access denied (code HTTP 403).

                    Si tu n'as pas d'IP fixe, tu peux mettre un mot de passe au travers de l'utilisation d'un fichier .htpasswd.

                    Bonne journée.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire


                    • #11
                      Re : Requete POST //

                      Envoyé par roland38 Voir le message
                      Bmais je cherche a savoir pourquoi le cr est de 200 sur des fichiers inexistants.
                      Petite idée en passant : aurais-tu le plugin de langue qui serait actif ?

                      Lorsque tu tentes toi-même d'accéder à cette url, est-ce que est redirigé vers une autre url (peu importe le code ensuite). Si tu es redirigé, alors je me demande si le premier code http enregistré dans le log ne serait pas le code 200.
                      Christophe (cavo789)
                      Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                      Commentaire

                      Annonce

                      Réduire
                      Aucune annonce pour le moment.

                      Partenaire de l'association

                      Réduire

                      Hébergeur Web PlanetHoster
                      Travaille ...
                      X