Tweet
salut
hier j'ai subit plusieurs tentative de hack sur un de mes sites par différentes IPs, c'est la première fois que cela m'arrive depuis que je créé des sites web (bientôt 10 ans), évidement j'ai été un peu laxiste puisque le temps faisant que je ne rencontrait pas de problèmes j'ai un peu oublié les bases de sécurisation.
J'explique: depuis samedi soir j'ai plusieurs ip qui fouinent sur mon site et lancent des requêtes GET ou POST sur ce schéma (il y en a des centaines et sur n'importe quels fichiers ou répertoires):
OVH l'hébergeur m'à envoyé un mail pour m'informé des tentatives de piratage bloquées par le robot de surveillance et mis le repertoire en CHMOD 700.
3 fois ce dimanche j'ai reçu des mails similaires avec des chemins différents
Première question, qu'est ce que ce .nfs000000000machintruc à la fin du chemin spécifié ?
J'ai déjà suite aux analyses de mes fichiers log récupéré une dizaine d'ip qui lancent les requêtes, provenant d'ip sur des sites avec des adresses particulièrement bizarres évidement (j'imagine que les serveurs ne servent probablement que à attaquer d'autres sites), je les ai bloqués par htaccess pour commencé (assez efficace puisque mes logs m'indiquent encore des dizaines de requetes sur une ip en particulier qui ce ramasse sur des erreurs 403
) mais bon je vais pas passer mes journées à bloquer des IPs à la main n'est ce pas.
Ensuite j'ai installé crawltrack et crawlprotect pour évité que cela ce reproduise mais je ne suis pas sur de l’efficacité de ce système pour évité une nouvelle fermeture du site
Seconde question, après lecture de mes explications, que me conseillez vous ?
Meric de votre lecture
hier j'ai subit plusieurs tentative de hack sur un de mes sites par différentes IPs, c'est la première fois que cela m'arrive depuis que je créé des sites web (bientôt 10 ans), évidement j'ai été un peu laxiste puisque le temps faisant que je ne rencontrait pas de problèmes j'ai un peu oublié les bases de sécurisation.
J'explique: depuis samedi soir j'ai plusieurs ip qui fouinent sur mon site et lancent des requêtes GET ou POST sur ce schéma (il y en a des centaines et sur n'importe quels fichiers ou répertoires):
XXX.XXX.XXX.XXX lifeinpixels.fr - [23/Nov/2015:02:03:45 +0100] "GET /administrator/index.php HTTP/1.1" 200 6436 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
3 fois ce dimanche j'ai reçu des mails similaires avec des chemins différents
Problème rencontré : Executing deleted program
Commande apparente : ././crond
Exécutable utilisé : /xxxxxxxx/xxxxxxxxxx/www/libraries/joomla/facebook/.nfs0000000003846e8d000007da
Horodatage: 2015-11-22 11:00:10
Commande apparente : ././crond
Exécutable utilisé : /xxxxxxxx/xxxxxxxxxx/www/libraries/joomla/facebook/.nfs0000000003846e8d000007da
Horodatage: 2015-11-22 11:00:10
J'ai déjà suite aux analyses de mes fichiers log récupéré une dizaine d'ip qui lancent les requêtes, provenant d'ip sur des sites avec des adresses particulièrement bizarres évidement (j'imagine que les serveurs ne servent probablement que à attaquer d'autres sites), je les ai bloqués par htaccess pour commencé (assez efficace puisque mes logs m'indiquent encore des dizaines de requetes sur une ip en particulier qui ce ramasse sur des erreurs 403
) mais bon je vais pas passer mes journées à bloquer des IPs à la main n'est ce pas.Ensuite j'ai installé crawltrack et crawlprotect pour évité que cela ce reproduise mais je ne suis pas sur de l’efficacité de ce système pour évité une nouvelle fermeture du site
Seconde question, après lecture de mes explications, que me conseillez vous ?
Meric de votre lecture
Commentaire