Forum CMS Made Simple FR
nyet.gif - Version imprimable

+- Forum CMS Made Simple FR (https://forum.cmsmadesimple.fr)
+-- Forum : Général (https://forum.cmsmadesimple.fr/forum-3.html)
+--- Forum : Général (https://forum.cmsmadesimple.fr/forum-10.html)
+--- Sujet : nyet.gif (/thread-3394.html)



nyet.gif - archeo - 28/01/2015

Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~
#~ Version du CMS: 1.11.11
#~ Url du site : www.evolution-biologique.org
#~ Hébergeur / Soft : OVH
#~ Informations Système :
#~ ----------------------------------------------
#~ Cms Version: 1.11.12
#~ Installed Modules:
#~ CMSMailer: 5.2.2
#~ FileManager: 1.4.5
#~ MenuManager: 1.8.6
#~ ModuleManager: 1.5.8
#~ News: 2.14.4
#~ Printing: 1.0.4
#~ Search: 1.7.11
#~ ThemeManager: 1.1.8
#~ TinyMCE: 2.9.12
#~ CMSPrinting: 1.0.5
#~ Slide: 1.0
#~ Showtime: 3.4
#~ AceEditor: 1.0
#~ Statistics: 1.1.3
#~ CGExtensions: 1.44.3
#~ MicroTiny: 1.2.8
#~ Gallery: 2.0.1
#~ HitCounter: 1.1
#~ CGFeedMaker: 1.0.17
#~ NewsSlides: 1.4
#~ UsersGuide: 1.8.1
#~ CodeMirror: 3.0.0
#~ AjaxMadeSimple: 0.4.0
#~ DownCnt: 2.3.0
#~ SiteMapMadeSimple: 1.2.8
#~ ModuleXtender: 1.10.6
#~ DocumentSearch: 1.4.5
#~ Quizzard: 0.9
#~ Album: 1.10.3
#~ CGSmartImage: 1.17.1
#~ Polls: 1.1.0
#~ Config Information:
#~ php_memory_limit:
#~ process_whole_template:
#~ max_upload_size: 64000000
#~ url_rewriting: mod_rewrite
#~ page_extension: .html
#~ query_var: page
#~ image_manipulation_prog: GD
#~ auto_alias_content: true
#~ locale:
#~ default_encoding: utf-8
#~ admin_encoding: utf-8
#~ set_names: true
#~ Php Information:
#~ phpversion: 5.5.18
#~ md5_function: On (Vrai)
#~ gd_version: 2
#~ tempnam_function: On (Vrai)
#~ magic_quotes_runtime: Off (Faux)
#~ E_STRICT: 2048
#~ E_DEPRECATED: 8192
#~ memory_limit: 512M
#~ max_execution_time: 300
#~ output_buffering: 4096
#~ safe_mode: Off (Faux)
#~ file_uploads: On (Vrai)
#~ post_max_size: 64M
#~ upload_max_filesize: 64M
#~ session_save_path: /tmp (0700)
#~ session_use_cookies: On (Vrai)
#~ xml_function: On (Vrai)
#~ xmlreader_class: On (Vrai)
#~ Server Information:
#~ Server Api: fpm-fcgi
#~ Server Db Type: MySQL (mysql)
#~ Server Db Version: 5.1.73
#~ Server Db Grants: Impossible de trouver un privilège "GRANT ALL". Cela peut signifier que vous pourriez avoir des problèmes pour installer ou retirer des modules, ou encore l 'ajout et la suppression d'éléments, y compris les pages.
#~ Server Time Diff: Aucune différence de date du système de fichiers trouvées
#~ ----------------------------------------------
#~~~~~ FIN BLOC A NE PAS SUPPRIMER ~~~~~



En consultant mes log ce matin j'ai trouvé 4 erreurs 404 pour une requête de /nyet.gif fichier qui n'existe pas sur mon site. Une étude plus attentive montre :

un PUT /nyet.gif suivi d'un GET /nyet.gif à 06:15 de l'IP 62.221.207.105 précédé de GET //index.php

puis même chose à 09:18. de l'IP 82.98.177.127

Si je ne me trompe pas c'est la signature d'une tentative de Hacking. Y-t-il des moyens d'y faire face? Tous les répertoires sont si possibles à 505 (sauf le répertoire racine www) et les fichiers à 404.


nyet.gif - jce76350 - 28/01/2015

Déjà bloquer les IPs pas htaccess peut etre

nyet.gif semble une super attaque


nyet.gif - archeo - 28/01/2015

Il a Hacké le service des cartes d'identités :mad: Les adresses changent en permanence.
Je pensais à interdire PUT dans le .htacess avec quelque chose du genre

<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>

Je vais aussi activer le pare-feu chez OVH


nyet.gif - archeo - 31/01/2015

Le pare feu c'était une mauvaise idée cela a provoqué une cascade d'erreurs, le blocage de toutes les images de la page d'accueil et leur redirection vers des pages en https. Je n'ai pas trouvé de doc sur le pare feu pour les sites mutualisés chez OVH, je continue à chercher. Finalement j'ai ajouté les lignes suivantes dans le .httacess

# on interdit les méthode PUT et DELETE
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>

# on interdit (off) ou on autorise les uploads (on)
<IfModule mod_php5.c>
php_flag file_uploads Off
</IfModule>

ce matin j'ai eu ceci dans le log des erreurs :

[Sat Jan 31 09:43:13 2015] [error] [client 195.238.74.39] [host www.evolution-biologique.org] client denied by server configuration: /homez.626/evolutionk/www/nyet.gif

et ceci dans le log des connexions :

195.238.74.39 www.evolution-biologique.org - [31/Jan/2015:09:43:12 +0100] "GET //index.php HTTP/1.1" 200 71638 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)"
195.238.74.39 www.evolution-biologique.org - [31/Jan/2015:09:43:13 +0100] "PUT /nyet.gif HTTP/1.1" 403 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)"
195.238.74.39 www.evolution-biologique.org - [31/Jan/2015:09:43:13 +0100] "GET /nyet.gif HTTP/1.1" 404 58427 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)"

C'est contraignant mais j'espère efficace.

Pourquoi un double slash dans" GET //index.php" ? De toute façon même avec plein de slash le site comprend la requête. Est-il possible de remplacer index.php par autre chose? Comme cela il aurait un 404 dés sa première requête.


nyet.gif - archeo - 26/03/2015

Toujours en analysant mes log j'ai trouvé des choses étranges :

Awstats m'indique des "Liens depuis une page externe" qui sont tous sur des sites russes. Le comportement est toujours le même : chaque site fait 3 connexions successives toujours à la même page sans afficher son contenu (les images ne sont pas utilisées). J'ai environ 8 sites qui se connectent chaque jour certains reviennent. En tout j'en suis à environ 70 différents depuis début février. je ne comprends pas l’intérêt de ce comportement sauf si la page de mon site devient elle même un "Lien depuis une page externe" en se connectant 3 fois chez quelqu'un d'autre?


nyet.gif - Jean le Chauve - 26/03/2015

Cela s'appelle du "pourriel de référant" : http://fr.wikipedia.org/wiki/Pourriel_de_r%C3%A9f%C3%A9rant
Voici une solution à cette nuisance : http://www.besthostratings.com/articles/block-referrer-spam.html