Désactivations d'utilisateurs suite au piratage du site

Chargement d'une base de données avec le programme de Jean Turlier. Problèmes, questions, bug ...
Ce programme n'est plus supporté et est remplacé par des programmes spécifiques à chaque station, mais qui ont tous la même base de données en commun.

Modérateurs : jturlier, Météo Villarzel

muchistic
Messages : 142
Enregistré le : 17 févr. 2014, 20:20
Localisation : Canejan (33)
Contact :

Re: Désactivations d'utilisateurs suite au piratage du site

Message par muchistic » 29 mars 2015, 22:59

jturlier a écrit :
JP54 a écrit :Geste totalement gratuit
Non Pascal, rien n'est gratuit, le but de ce type d'opérations est purement mercantile : utiliser le serveur soit pour lancer des opérations de DoS (dénis de service) ou tout simplement augmenter l'accès à certains sites pour améliorer leur classement par Google. Ainsi que beaucoup d'autres malhonnêtetés comme créer une armée de sites zombie.
au final Jean on se retrouve avec un outil (internet) qui est "cassé" par des personnes malhonnêtes comme dans beaucoup de choses dans la vie. c'est pourtant simple de profiter de site gratuit sans les casser pour autant, partager et apprendre des tas de choses assis devant sont ordi...pour ne citer que Jp54 (Pascal) toi (jean) Pierre André, moi et tous les autres, nous créons nos sites dans le but principale est de partager sans compter les infos météo et des ....( pas de mot pour les citer) en profite pour faire les choses que tu site dans ton message, un seul mot me vient à l'esprit, lamentable....
https://www.meteo-canejan.fr/

ma config : VP2sql , Weaterlink 6.03 , NOAAtable, minimaxibis (sonde agricole), Windows 10 .

Avatar du membre
Météo Villarzel
Administrateur du site
Messages : 524
Enregistré le : 06 févr. 2014, 09:48
Contact :

Re: Désactivations d'utilisateurs suite au piratage du site

Message par Météo Villarzel » 29 mars 2015, 23:43

Bonsoir,
pour info j'ai installé CrawlProtect http://www.crawltrack.fr/crawlprotect/ et il a déjà trouvé et bloqué une attaque

pour info J’ai installé CrawlProtect http://www.crawltrack.fr/crawlprotect/, ça m’a l’air bien, en tout cas il m’a bloqué une grosse attaque de tentative d’injection de code, c’est le problème que j’ai eu dernièrement.
Étonnamment l’attaque ne provient pas des pays de l’est ou autres pays exotique, mais de France.

Merci à Pasal pour cette info

juste une partie de l'attaque, il y en a 3 pages

Code : Tout sélectionner

29/03/2015 18:05	Sqlinjection: /meteo/metar/phpweather-2.2.2/index.php?language=en&cc=FO1111111111111%2522%2520UNION%2520SELECT
  %2520CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81,45),CHAR(45,120,52,45,81
  ,45),CHAR(45,120,53,45,81,45),CHAR(45,120,54,45,81,45),CHAR(45,120,55,45,81,45),CHAR(45,120,56,45,81
  ,45),CHAR(45,120,57,45,81,45),CHAR(45,120,49,48,45,81,45),CHAR(45,120,49,49,45,81,45),CHAR(45,120,49
  ,50,45,81,45),CHAR(45,120,49,51,45,81,45),CHAR(45,120,49,52,45,81,45),CHAR(45,120,49,53,45,81,45),CH
  AR(45,120,49,54,45,81,45),CHAR(45,120,49,55,45,81,45),CHAR(45,120,49,56,45,81,45),CHAR(45,120,49,57,
  45,81,45),CHAR(45,120,50,48,45,81,45),CHAR(45,120,50,49,45,81,45),CHAR(45,120,50,50,45,81,45),CHAR(4
  5,120,50,51,45,81,45),CHAR(45,120,50,52,45,81,45)%2520--%2520/*%2520order%2520by%2520%2522as%2520/*	195.114.114.160	France
29/03/2015 18:05	Sqlinjection: /meteo/metar/phpweather-2.2.2/index.php?language=en&cc=FO1111111111111%2522%2520UNION%2520SELECT
  %2520CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81,45),CHAR(45,120,52,45,81
  ,45),CHAR(45,120,53,45,81,45),CHAR(45,120,54,45,81,45),CHAR(45,120,55,45,81,45),CHAR(45,120,56,45,81
  ,45),CHAR(45,120,57,45,81,45),CHAR(45,120,49,48,45,81,45),CHAR(45,120,49,49,45,81,45),CHAR(45,120,49
  ,50,45,81,45),CHAR(45,120,49,51,45,81,45),CHAR(45,120,49,52,45,81,45),CHAR(45,120,49,53,45,81,45),CH
  AR(45,120,49,54,45,81,45),CHAR(45,120,49,55,45,81,45),CHAR(45,120,49,56,45,81,45),CHAR(45,120,49,57,
  45,81,45),CHAR(45,120,50,48,45,81,45),CHAR(45,120,50,49,45,81,45),CHAR(45,120,50,50,45,81,45),CHAR(4
  5,120,50,51,45,81,45),CHAR(45,120,50,52,45,81,45),CHAR(45,120,50,53,45,81,45)%2520--%2520/*%2520orde
  r%2520by%2520%2522as%2520/*
Station Vantage Pro2+ avec station agricole - Weatherlink - GraphWeather 3.0.15b - Cumulus 1.9.4 - Windows 7/64
Graphique dynamique à partir d'une bd MySql - VP2SQL

Image

Avatar du membre
PascalWMR
Messages : 323
Enregistré le : 16 févr. 2014, 09:28
Localisation : CONFLANS EN JARNISY (F54800)
Contact :

Re: Désactivations d'utilisateurs suite au piratage du site

Message par PascalWMR » 30 mars 2015, 19:52

Salut Pierre-André

As-tu essayé de tester l'adresse IP qui apparait dans le code.
C'est une adresse IP fixe de surcroit qui appartient à BDL SYSTEMES SAS.
Regarde un peu cela https://greensnow.co/view/195.114.114.160#close.
A priori si je comprend tout, ce sont des spécialistes du type d'attaque que tu subit et qui s'appelle modsec.

A+
Pascal
Station VP2Plus, Windows 10 64 bits,WeatherLink 6.0.5, VP2SQL, Graphiques Dynamiques à partir d'une BDD MySQL
Météo Conflans-en-Jarnisy
Image

Avatar du membre
jturlier
Administrateur du site
Messages : 393
Enregistré le : 10 déc. 2014, 10:20
Localisation : Sérignan 34410
Contact :

Re: Désactivations d'utilisateurs suite au piratage du site

Message par jturlier » 30 mars 2015, 22:32

PascalWMR a écrit :Salut Pierre-André

As-tu essayé de tester l'adresse IP qui apparait dans le code.
C'est une adresse IP fixe de surcroit qui appartient à BDL SYSTEMES SAS.
Regarde un peu cela https://greensnow.co/view/195.114.114.160#close.
A priori si je comprend tout, ce sont des spécialistes du type d'attaque que tu subit et qui s'appelle modsec.

A+
Pascal
Bonsoir Pascal,
Petite addition à ton message : le réseau est systonic à Bordeaux.
Le forum est protégé pour les IP correspondantes.
Il serait peut-être intéressant d'envoyer l'information directement à l'adresse de contrôle des abus qui est ripe@systonic.fr
Bonne soirée
Jean

Station :
VP2pro + anémomètre ultrasons et console Vue
Cumulus 1.9.4 + Cumulus2SQL + MySQL

Audio :
FR
PC :
W10 64bits migré
http://meteoserignan.ddns.net
Image

Avatar du membre
Météo Villarzel
Administrateur du site
Messages : 524
Enregistré le : 06 févr. 2014, 09:48
Contact :

Re: Désactivations d'utilisateurs suite au piratage du site

Message par Météo Villarzel » 30 mars 2015, 23:06

Bonsoir,
merci Pascal pour le lien, il y a pas mal d'adresse IP Blacklistées dans leur liste, je me demande si je ne vais pas les rajouter dans mon .htaccess.
Pour info, ce n'est pas cette attaque qui a mis le foutoir sur mon site, c'est une attaque qui a été vue par crawlprotect, c'est quand même une tentative de piratage, mais je ne sais pas à quel niveau et si sans crawlprotect elle aurait abouti à quelque chose ?

Bonne soirée
Station Vantage Pro2+ avec station agricole - Weatherlink - GraphWeather 3.0.15b - Cumulus 1.9.4 - Windows 7/64
Graphique dynamique à partir d'une bd MySql - VP2SQL

Image

Allande36
Messages : 1
Enregistré le : 24 août 2016, 23:15

Re: Désactivations d'utilisateurs suite au piratage du site

Message par Allande36 » 26 août 2016, 23:18

alain a écrit :bonjour
Suite à un piratage de mon site
il ton touché ta BDD, ou seulement placé des fichiers?
Dommage que certains utilisent leur savoir a faire ce genre de conneries :evil:
ferais mieux de participer et de nous donner un coups de main. c'est chiant, moi je n'arrive plus a me connecter sur ma page statistique: infection html iframe. inf
soit un faux positif d'Avaast, soit une merdouille sur mon micro, mais c'est casse pied.
je crois me souvenir qu'un membre s'est aussi fait pirater son site.
c'est vrai c'est facile, on est pas des experts en sécurité, mais on se dévoue pour mettre en partage notre passion et en faire profiter les gens proches.
Ici il y a comme toi: un site MetoOrange, site comme toi d'amateur, il est très consulté surtout lors d’événements qui se passent a l’extérieur: corso, festival, carnaval.
Il y a quelques temps la foudre a endommagé sa station, et les gens qui consultent sont site on fait des dons pour l'aider. Voila le coté positif.



Je suis modo sur un autre forum, on a évité pas mal de soucis en activant la fonction "prévisualisation obligatoire."
ferme pas ton forum, même si il n'est pas un très grand forum très actif, il est très convivial, reposant a la lecture, et puis on y trouve toujours des solutions, peut être te faire aider car ça doit être une lourde tache, ou le sortir de ton site, un truc comme forum actif
http://www.forumactif.com/
Alain
Bonjour, moi aussi je suis modérateur d'un autre forum, merci pour tes conseils ;)

Avatar du membre
jturlier
Administrateur du site
Messages : 393
Enregistré le : 10 déc. 2014, 10:20
Localisation : Sérignan 34410
Contact :

Re: Désactivations d'utilisateurs suite au piratage du site

Message par jturlier » 28 août 2016, 10:46

Bonjour,
crawlprotect semble efficace pour la protection contre des attaques de type modsec pour le serveur html.
Pour le forum, l'autre type de contrôle qui est en place est la vérification des coordonnées de chaque nouvel utilisateur, IP toxiques ou jetables, adresses mail sur des serveurs de type hotmail, gmail... pour lesquels on n'a pas le fournisseur d'accès, vérification de l'activité spam de l'IP.
Pour toutes les IP toxiques, bannissement des adresses correspondant aux 2 derniers groupes de l'IPV4, ce qui fait 65536 adresses bannies. Ces adresses sont en général situées dans des pays de l'est Ukraine et Russie. Depuis quelques temps nous sommes confrontés à des tentatives d'inscriptions pour placer des SPAM's par des malgaches. Cette solution permet d'empêcher tout accès au forum par des IP suspectes, quel qu'en soit le but.
Même si on empêche quelques utilisateurs, qui pourraient être honnêtes, d'accéder au forum, au moins nous sommes tranquilles... ou presque !
Malheureusement quelques uns échappent au premier contrôle mais sont rapidement identifiés.
Jean

Station :
VP2pro + anémomètre ultrasons et console Vue
Cumulus 1.9.4 + Cumulus2SQL + MySQL

Audio :
FR
PC :
W10 64bits migré
http://meteoserignan.ddns.net
Image

Répondre