Question suite à l'attaque du 12

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Question suite à l'attaque du 12

    Sur notre portail on peut lire :

    nous vous invitons à recherchez les occurrences JDatabaseDriverMysqli or O: dans vos User Agent puisqu’ils sont exploités par la faille Joomla.

    Concrètement je fais ça comment ?

    Merci,

  • #2
    Re : Question suite à l'attaque du 12

    Dans les fichiers de logs
    Christophe
    http://www.webcrea.fr

    Commentaire


    • #3
      Re : Question suite à l'attaque du 12

      Merci, mais je ne connais que le fichier error.php dans le répertoire log, ou se trouve les autres ?
      D'autre part j'ai accès bien sur aux statistiques fourni par mon hébergeur (online.net) mais je ne vois pas de rubriques au sujet des occurrences des users
      Dernière édition par phelibre à 30/12/2015, 17h43

      Commentaire


      • #4
        Re : Question suite à l'attaque du 12

        Part de l'idée que ton site a été visitée... Le contraire serait étonnant.

        Le plus important est qu'il n'ait pas été hacké mais je me souviens que tu as posté récemment pour signaler que ton site avait été hacké. Chercher dans les logs est donc peu utile.

        Mais si tu veux le faire, c'est le log des accès Apache et pas error.php. Le log dont il est question est accessible (normallement) dans ton cpanel. Contacte ton hébergeur pour lui demander où le trouver si tu ne sais pas; seul lui peut t'aider.

        Bonne soirée.
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Question suite à l'attaque du 12

          Merci, mais je ne vois pas ou se trouve "les occurrences JDatabaseDriverMysqli or O: dans vos User Agent" dans le top 8 des @ IP:

          178-137-94-34-lvv.broadband.kyivstar.net
          46.119.119.184
          178-137-165-25-broadband.kyivstar.net
          46.8.207.91.unknown.steephost.net
          sol-fttb.149.113.118.46.sovam.net.ua
          109.120.157.179.addr.datapoint.ru
          82.193.99.33.usernat.ip.net.ua
          134-249-76-28-broadband.kyivstar.net

          De plus ces @ ne font plus d'error log côté Joomla, grâce à mon .htaccess non ?
          Dernière édition par phelibre à 30/12/2015, 18h50

          Commentaire


          • #6
            Re : Question suite à l'attaque du 12

            Personne n'a parlé d'IPs. C'est le user-Agent qui a été ainsi construit.

            Le UA correspond à la fin de chaque ligne de log; la dernière info. Une fois le fichier de log ouvert dans un éditeur de texte, recherche sur les mots clefs que tu cites et si tu as été "visité", tu trouveras des lignes.

            Bonne soirée.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Question suite à l'attaque du 12

              Envoyé par cavo789 Voir le message
              Chercher dans les logs est donc peu utile.
              je ne comprends pas ta réponse cavo, quand on pense avoir été hacké il est toujours intéressant de consulter les logs
              Christophe
              http://www.webcrea.fr

              Commentaire


              • #8
                Re : Question suite à l'attaque du 12

                Bonjour Webcrea.

                Oui, cela mérite clarification.

                phlibre a déjà posté par ailleurs et très récemment pour dire que son site était hacké. Ma réponse "Chercher dans les logs est donc peu utile" se voulait pragmatique : le temps qui serait investi à analyser, à la main, les logs d'accès est fort peu bien investi; le plus important étant de nettoyer son site puisque, ici, le hack était avéré.

                Analyser les logs des accès est un exercice "de détective" pour, p.ex., tenter de comprendre par où sont passé les hackeurs, de quels pays ils proviennent (enfin, cette info est très peu fiable), quelle est la séquence de l'attaque, etc. Il faut remonter à plusieurs jours (semaines?) pour retrouver la première attaque.

                Une requête dans le log vers /template/index.php en GET pourrait sembler à première vue normale mais si le fichier est déjà hacké et contient un truc comme eval($_GET[...., ce qui semblait sain ne l'est pas puisque ce eval permet d'exécuter du code. Ceci parce que le fichier était déjà hacké.

                Il faut donc savoir où chercher et quand et cela prend un temps diabolique de faire ces analyses.

                Voilà pourquoi, pour moi, sur le plan de l'efficacité, je pense qu'il vaut mieux investir son temps à nettoyer le site puis, le sécuriser (puisqu'il y a eu un hack c'est que le site, une fois propre, est toujours failible) et si on a le temps et l'envie à jouer aux détectives.

                Bonne journée et excellente année 2016 à tous.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire

                Annonce

                Réduire
                Aucune annonce pour le moment.

                Partenaire de l'association

                Réduire

                Hébergeur Web PlanetHoster
                Travaille ...
                X