Tweet
Bonjour,
je viens vers vous car nous avons un problème sur notre site.
Depuis 1 semaine, nous avons un robot qui arrive a upload des fichers sur notre FTP et nous ne savons pas comment.
Nous avons changé les code FTP et la connexion a notre compte OVH se fait par double vérification.
Nous avons découvert ceci dans les logs
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:06 +0100] "POST //layouts/joomla/form/addik.php HTTP/1.1" 200 10636 "http://www.xxx.fr//layouts/joomla/form/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:09 +0100] "POST //layouts/joomla/editors/addik.php HTTP/1.1" 200 10657 "http://www.xxx.fr//layouts/joomla/editors/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:14 +0100] "POST //layouts/joomla/edit/addik.php HTTP/1.1" 200 10636 "http://www.xxx.fr//layouts/joomla/edit/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:18 +0100] "POST //layouts/joomla/content/addik.php HTTP/1.1" 200 10657 "http://www.xxx.fr//layouts/joomla/content/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
Le fichier addik.php générant ensuite un fichier _loge.php qui lui est une copie conforme d'une page d'authentification d'une banque Sud Africaine.
Autant vous dire que depuis 1 semaine nous avons un organisme de sécurité qui nous appel régulièrement pour nous demander de supprimer les fichiers de fishing.
Nous avons admin tools sur notre joomla et quand nous bloquons l'ip, les fichiers ne reviennent pas, sauf si une nouvelle IP fait la même manipulation.
Nous avons pourtant bloqué toutes les IP venant d'Afrique du sud via admin tools, mais leurs base d'ip ne doit pas être a jour.
Avez vous solution pour bloquer l'upload des fichiers sur notre serveur s'il vous plait ?
Bonne journée.
je viens vers vous car nous avons un problème sur notre site.
Depuis 1 semaine, nous avons un robot qui arrive a upload des fichers sur notre FTP et nous ne savons pas comment.
Nous avons changé les code FTP et la connexion a notre compte OVH se fait par double vérification.
Nous avons découvert ceci dans les logs
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:06 +0100] "POST //layouts/joomla/form/addik.php HTTP/1.1" 200 10636 "http://www.xxx.fr//layouts/joomla/form/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:09 +0100] "POST //layouts/joomla/editors/addik.php HTTP/1.1" 200 10657 "http://www.xxx.fr//layouts/joomla/editors/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:14 +0100] "POST //layouts/joomla/edit/addik.php HTTP/1.1" 200 10636 "http://www.xxx.fr//layouts/joomla/edit/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
154.69.85.4 www.xxx.fr - [22/Nov/2015:12:48:18 +0100] "POST //layouts/joomla/content/addik.php HTTP/1.1" 200 10657 "http://www.xxx.fr//layouts/joomla/content/addik.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
Le fichier addik.php générant ensuite un fichier _loge.php qui lui est une copie conforme d'une page d'authentification d'une banque Sud Africaine.
Autant vous dire que depuis 1 semaine nous avons un organisme de sécurité qui nous appel régulièrement pour nous demander de supprimer les fichiers de fishing.
Nous avons admin tools sur notre joomla et quand nous bloquons l'ip, les fichiers ne reviennent pas, sauf si une nouvelle IP fait la même manipulation.
Nous avons pourtant bloqué toutes les IP venant d'Afrique du sud via admin tools, mais leurs base d'ip ne doit pas être a jour.
Avez vous solution pour bloquer l'upload des fichiers sur notre serveur s'il vous plait ?
Bonne journée.
Commentaire