Désactivations d'utilisateurs suite au piratage du site

[muchistic]

Geste totalement gratuit

Non Pascal, rien n'est gratuit, le but de ce type d'opérations est purement mercantile : utiliser le serveur soit pour lancer des opérations de DoS (dénis de service) ou tout simplement augmenter l'accès à certains sites pour améliorer leur classement par Google. Ainsi que beaucoup d'autres malhonnêtetés comme créer une armée de sites zombie.

au final Jean on se retrouve avec un outil (internet) qui est "cassé" par des personnes malhonnêtes comme dans beaucoup de choses dans la vie. c'est pourtant simple de profiter de site gratuit sans les casser pour autant, partager et apprendre des tas de choses assis devant sont ordi...pour ne citer que Jp54 (Pascal) toi (jean) Pierre André, moi et tous les autres, nous créons nos sites dans le but principale est de partager sans compter les infos météo et des ....( pas de mot pour les citer) en profite pour faire les choses que tu site dans ton message, un seul mot me vient à l'esprit, lamentable....

[Météo Villarzel]

Bonsoir,
pour info j'ai installé CrawlProtect http://www.crawltrack.fr/crawlprotect/ et il a déjà trouvé et bloqué une attaque

pour info J’ai installé CrawlProtect http://www.crawltrack.fr/crawlprotect/, ça m’a l’air bien, en tout cas il m’a bloqué une grosse attaque de tentative d’injection de code, c’est le problème que j’ai eu dernièrement.
Étonnamment l’attaque ne provient pas des pays de l’est ou autres pays exotique, mais de France.

Merci à Pasal pour cette info

juste une partie de l'attaque, il y en a 3 pages

Code : Tout sélectionner

29/03/2015 18:05	Sqlinjection: /meteo/metar/phpweather-2.2.2/index.php?language=en&cc=FO1111111111111%2522%2520UNION%2520SELECT
  %2520CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81,45),CHAR(45,120,52,45,81
  ,45),CHAR(45,120,53,45,81,45),CHAR(45,120,54,45,81,45),CHAR(45,120,55,45,81,45),CHAR(45,120,56,45,81
  ,45),CHAR(45,120,57,45,81,45),CHAR(45,120,49,48,45,81,45),CHAR(45,120,49,49,45,81,45),CHAR(45,120,49
  ,50,45,81,45),CHAR(45,120,49,51,45,81,45),CHAR(45,120,49,52,45,81,45),CHAR(45,120,49,53,45,81,45),CH
  AR(45,120,49,54,45,81,45),CHAR(45,120,49,55,45,81,45),CHAR(45,120,49,56,45,81,45),CHAR(45,120,49,57,
  45,81,45),CHAR(45,120,50,48,45,81,45),CHAR(45,120,50,49,45,81,45),CHAR(45,120,50,50,45,81,45),CHAR(4
  5,120,50,51,45,81,45),CHAR(45,120,50,52,45,81,45)%2520--%2520/*%2520order%2520by%2520%2522as%2520/*	195.114.114.160	France
29/03/2015 18:05	Sqlinjection: /meteo/metar/phpweather-2.2.2/index.php?language=en&cc=FO1111111111111%2522%2520UNION%2520SELECT
  %2520CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81,45),CHAR(45,120,52,45,81
  ,45),CHAR(45,120,53,45,81,45),CHAR(45,120,54,45,81,45),CHAR(45,120,55,45,81,45),CHAR(45,120,56,45,81
  ,45),CHAR(45,120,57,45,81,45),CHAR(45,120,49,48,45,81,45),CHAR(45,120,49,49,45,81,45),CHAR(45,120,49
  ,50,45,81,45),CHAR(45,120,49,51,45,81,45),CHAR(45,120,49,52,45,81,45),CHAR(45,120,49,53,45,81,45),CH
  AR(45,120,49,54,45,81,45),CHAR(45,120,49,55,45,81,45),CHAR(45,120,49,56,45,81,45),CHAR(45,120,49,57,
  45,81,45),CHAR(45,120,50,48,45,81,45),CHAR(45,120,50,49,45,81,45),CHAR(45,120,50,50,45,81,45),CHAR(4
  5,120,50,51,45,81,45),CHAR(45,120,50,52,45,81,45),CHAR(45,120,50,53,45,81,45)%2520--%2520/*%2520orde
  r%2520by%2520%2522as%2520/*

[PascalWMR]

Salut Pierre-André

As-tu essayé de tester l'adresse IP qui apparait dans le code.
C'est une adresse IP fixe de surcroit qui appartient à BDL SYSTEMES SAS.
Regarde un peu cela https://greensnow.co/view/195.114.114.160#close.
A priori si je comprend tout, ce sont des spécialistes du type d'attaque que tu subit et qui s'appelle modsec.

A+
Pascal

[jturlier]

Salut Pierre-André

As-tu essayé de tester l'adresse IP qui apparait dans le code.
C'est une adresse IP fixe de surcroit qui appartient à BDL SYSTEMES SAS.
Regarde un peu cela https://greensnow.co/view/195.114.114.160#close.
A priori si je comprend tout, ce sont des spécialistes du type d'attaque que tu subit et qui s'appelle modsec.

A+
Pascal

Bonsoir Pascal,
Petite addition à ton message : le réseau est systonic à Bordeaux.
Le forum est protégé pour les IP correspondantes.
Il serait peut-être intéressant d'envoyer l'information directement à l'adresse de contrôle des abus qui est ripe@systonic.fr
Bonne soirée

[Météo Villarzel]

Bonsoir,
merci Pascal pour le lien, il y a pas mal d'adresse IP Blacklistées dans leur liste, je me demande si je ne vais pas les rajouter dans mon .htaccess.
Pour info, ce n'est pas cette attaque qui a mis le foutoir sur mon site, c'est une attaque qui a été vue par crawlprotect, c'est quand même une tentative de piratage, mais je ne sais pas à quel niveau et si sans crawlprotect elle aurait abouti à quelque chose ?

Bonne soirée

[Allande36]

bonjour

Suite à un piratage de mon site

il ton touché ta BDD, ou seulement placé des fichiers?
Dommage que certains utilisent leur savoir a faire ce genre de conneries
ferais mieux de participer et de nous donner un coups de main. c'est chiant, moi je n'arrive plus a me connecter sur ma page statistique: infection html iframe. inf
soit un faux positif d'Avaast, soit une merdouille sur mon micro, mais c'est casse pied.
je crois me souvenir qu'un membre s'est aussi fait pirater son site.
c'est vrai c'est facile, on est pas des experts en sécurité, mais on se dévoue pour mettre en partage notre passion et en faire profiter les gens proches.
Ici il y a comme toi: un site MetoOrange, site comme toi d'amateur, il est très consulté surtout lors d’événements qui se passent a l’extérieur: corso, festival, carnaval.
Il y a quelques temps la foudre a endommagé sa station, et les gens qui consultent sont site on fait des dons pour l'aider. Voila le coté positif.



Je suis modo sur un autre forum, on a évité pas mal de soucis en activant la fonction "prévisualisation obligatoire."
ferme pas ton forum, même si il n'est pas un très grand forum très actif, il est très convivial, reposant a la lecture, et puis on y trouve toujours des solutions, peut être te faire aider car ça doit être une lourde tache, ou le sortir de ton site, un truc comme forum actif
http://www.forumactif.com/
Alain

Bonjour, moi aussi je suis modérateur d'un autre forum, merci pour tes conseils

[jturlier]

Bonjour,
crawlprotect semble efficace pour la protection contre des attaques de type modsec pour le serveur html.
Pour le forum, l'autre type de contrôle qui est en place est la vérification des coordonnées de chaque nouvel utilisateur, IP toxiques ou jetables, adresses mail sur des serveurs de type hotmail, gmail... pour lesquels on n'a pas le fournisseur d'accès, vérification de l'activité spam de l'IP.
Pour toutes les IP toxiques, bannissement des adresses correspondant aux 2 derniers groupes de l'IPV4, ce qui fait 65536 adresses bannies. Ces adresses sont en général situées dans des pays de l'est Ukraine et Russie. Depuis quelques temps nous sommes confrontés à des tentatives d'inscriptions pour placer des SPAM's par des malgaches. Cette solution permet d'empêcher tout accès au forum par des IP suspectes, quel qu'en soit le but.
Même si on empêche quelques utilisateurs, qui pourraient être honnêtes, d'accéder au forum, au moins nous sommes tranquilles... ou presque !
Malheureusement quelques uns échappent au premier contrôle mais sont rapidement identifiés.