nyet.gif -
archeo - 28/01/2015
Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: 1.11.11
#~ Url du site : www.evolution-biologique.org
#~ Hébergeur / Soft : OVH
#~ Informations Système :
#~ ----------------------------------------------
#~ Cms Version: 1.11.12
#~ Installed Modules:
#~ CMSMailer: 5.2.2
#~ FileManager: 1.4.5
#~ MenuManager: 1.8.6
#~ ModuleManager: 1.5.8
#~ News: 2.14.4
#~ Printing: 1.0.4
#~ Search: 1.7.11
#~ ThemeManager: 1.1.8
#~ TinyMCE: 2.9.12
#~ CMSPrinting: 1.0.5
#~ Slide: 1.0
#~ Showtime: 3.4
#~ AceEditor: 1.0
#~ Statistics: 1.1.3
#~ CGExtensions: 1.44.3
#~ MicroTiny: 1.2.8
#~ Gallery: 2.0.1
#~ HitCounter: 1.1
#~ CGFeedMaker: 1.0.17
#~ NewsSlides: 1.4
#~ UsersGuide: 1.8.1
#~ CodeMirror: 3.0.0
#~ AjaxMadeSimple: 0.4.0
#~ DownCnt: 2.3.0
#~ SiteMapMadeSimple: 1.2.8
#~ ModuleXtender: 1.10.6
#~ DocumentSearch: 1.4.5
#~ Quizzard: 0.9
#~ Album: 1.10.3
#~ CGSmartImage: 1.17.1
#~ Polls: 1.1.0
#~ Config Information:
#~ php_memory_limit:
#~ process_whole_template:
#~ max_upload_size: 64000000
#~ url_rewriting: mod_rewrite
#~ page_extension: .html
#~ query_var: page
#~ image_manipulation_prog: GD
#~ auto_alias_content: true
#~ locale:
#~ default_encoding: utf-8
#~ admin_encoding: utf-8
#~ set_names: true
#~ Php Information:
#~ phpversion: 5.5.18
#~ md5_function: On (Vrai)
#~ gd_version: 2
#~ tempnam_function: On (Vrai)
#~ magic_quotes_runtime: Off (Faux)
#~ E_STRICT: 2048
#~ E_DEPRECATED: 8192
#~ memory_limit: 512M
#~ max_execution_time: 300
#~ output_buffering: 4096
#~ safe_mode: Off (Faux)
#~ file_uploads: On (Vrai)
#~ post_max_size: 64M
#~ upload_max_filesize: 64M
#~ session_save_path: /tmp (0700)
#~ session_use_cookies: On (Vrai)
#~ xml_function: On (Vrai)
#~ xmlreader_class: On (Vrai)
#~ Server Information:
#~ Server Api: fpm-fcgi
#~ Server Db Type: MySQL (mysql)
#~ Server Db Version: 5.1.73
#~ Server Db Grants: Impossible de trouver un privilège "GRANT ALL". Cela peut signifier que vous pourriez avoir des problèmes pour installer ou retirer des modules, ou encore l 'ajout et la suppression d'éléments, y compris les pages.
#~ Server Time Diff: Aucune différence de date du système de fichiers trouvées
#~ ----------------------------------------------
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~
En consultant mes log ce matin j'ai trouvé 4 erreurs 404 pour une requête de /nyet.gif fichier qui n'existe pas sur mon site. Une étude plus attentive montre :
un PUT /nyet.gif suivi d'un GET /nyet.gif à 06:15 de l'IP 62.221.207.105 précédé de GET //index.php
puis même chose à 09:18. de l'IP 82.98.177.127
Si je ne me trompe pas c'est la signature d'une tentative de Hacking. Y-t-il des moyens d'y faire face? Tous les répertoires sont si possibles à 505 (sauf le répertoire racine www) et les fichiers à 404.
nyet.gif -
jce76350 - 28/01/2015
Déjà bloquer les IPs pas htaccess peut etre
nyet.gif semble une
super attaque
nyet.gif -
archeo - 28/01/2015
Il a Hacké le service des cartes d'identités :mad: Les adresses changent en permanence.
Je pensais à interdire PUT dans le .htacess avec quelque chose du genre
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
Je vais aussi activer le pare-feu chez OVH
nyet.gif -
archeo - 31/01/2015
Le pare feu c'était une mauvaise idée cela a provoqué une cascade d'erreurs, le blocage de toutes les images de la page d'accueil et leur redirection vers des pages en https. Je n'ai pas trouvé de doc sur le pare feu pour les sites mutualisés chez OVH, je continue à chercher. Finalement j'ai ajouté les lignes suivantes dans le .httacess
# on interdit les méthode PUT et DELETE
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
# on interdit (off) ou on autorise les uploads (on)
<IfModule mod_php5.c>
php_flag file_uploads Off
</IfModule>
ce matin j'ai eu ceci dans le log des erreurs :
[Sat Jan 31 09:43:13 2015] [error] [client 195.238.74.39] [host
www.evolution-biologique.org] client denied by server configuration: /homez.626/evolutionk/www/nyet.gif
et ceci dans le log des connexions :
195.238.74.39
www.evolution-biologique.org - [31/Jan/2015:09:43:12 +0100] "GET //index.php HTTP/1.1" 200 71638 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)"
195.238.74.39
www.evolution-biologique.org - [31/Jan/2015:09:43:13 +0100] "PUT /nyet.gif HTTP/1.1" 403 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)"
195.238.74.39
www.evolution-biologique.org - [31/Jan/2015:09:43:13 +0100] "GET /nyet.gif HTTP/1.1" 404 58427 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)"
C'est contraignant mais j'espère efficace.
Pourquoi un double slash dans" GET //index.php" ? De toute façon même avec plein de slash le site comprend la requête. Est-il possible de remplacer index.php par autre chose? Comme cela il aurait un 404 dés sa première requête.
nyet.gif -
archeo - 26/03/2015
Toujours en analysant mes log j'ai trouvé des choses étranges :
Awstats m'indique des "Liens depuis une page externe" qui sont tous sur des sites russes. Le comportement est toujours le même : chaque site fait 3 connexions successives toujours à la même page sans afficher son contenu (les images ne sont pas utilisées). J'ai environ 8 sites qui se connectent chaque jour certains reviennent. En tout j'en suis à environ 70 différents depuis début février. je ne comprends pas l’intérêt de ce comportement sauf si la page de mon site devient elle même un "Lien depuis une page externe" en se connectant 3 fois chez quelqu'un d'autre?
nyet.gif -
Jean le Chauve - 26/03/2015
Cela s'appelle du "pourriel de référant" :
http://fr.wikipedia.org/wiki/Pourriel_de_r%C3%A9f%C3%A9rant
Voici une solution à cette nuisance :
http://www.besthostratings.com/articles/block-referrer-spam.html