Bonjour,

En regardant les stats d'un de mes sites, j'ai vu plusieurs accès direct via ce code :
NB : j'ai scindé la requête pour qu'elle puisse rentrée dans le post, mais il s'agit bien d'une seule et unique ligne...

L'adresse IP du site en question a été remplacé par des xxx : il s'agit du site de mon entreprise.
La seconde IP m'est inconnu...
Quand on colle cette ligne dans la barre d'adresse du navigateur, on tombe directement sur le site de mon entreprise...
Quelqu'un peut-il m'expliquer à quoi corresponds cette entrée bizarre (code après le index.php) ?

Merci

Il s'agit à mon avis d'une tentative de hack.
Trouve l'ip dans tes logs et regarde d'où ça vient.


//EDIT : D'après l'ip "219.84.105.36" que tu as dans tes stats ça viendrait de Taiwan...

Je pense aussi.
Je viens de faire une requête sur GG : com_content&do_pdf et j'ai bien l'impression qu'il s'agit de spam...

A votre avis...

Le plus inquiétant est l'appel de wget... il télécharge un programme en provenance de son serveur et tente de l'exécuter chez toi.
Ce n'est vraisemblablement pas du spam mais une tentative d'intrusion, comme le montre cette partie de l'URL:

à laquelle il doit manquer la fin ...

Si tu es sur un serveur dédié, le plus simple est de supprimer le droit d'exécution de wget à l'utilisateur Apache (nobody)
Ou encore de lancer une commande "chmod 700 /usr/bin/wget"

Dan

Merci DAN,
Je vois cela avec le responsable "réseau" et mon hébergeur...
La 1ère attaque est venu, a priori, de 213.196.223.21.
Selon dnsstuff.com : http://www.dnsstuff.com/tools/ip4r.ch?ip=213.196.223.21 ... cela correspondrait à mail.compecon.de

Une attaque venant d'un serveur de mail ? je ne pense pas... tu as dû te louper dans l'analyse du log.

Une simple règle de réécriture et tu te débarrasses de toutes les URLs qui contiennent wget dans la QUERY_STRING
Mais il ne faut pas que tu utilises toi-même "wget" dans tes noms ou valeurs de variables...

Au moins tu éviteras 95% des tentatives de hack

Dan

Ok, je vais revirifier...


Nous n'utilisons pas WGET sur le site...
Responsable réseau et hébergeur => contactés...

Merci DAN... toujours aussi prompt et perspicace...

Bonjour,

Vous m'inquiétez... Le risque dont vous parlez est seulement présent si /index.php ne traite pas ces variables avec toute la prudence nécessaire ou je me trompe ?

Jean-Luc

Il ne faut pas permettre à un script d'appeler wget, c'est le plus simple.

L'exemple plus haut fait vraisemblablement appel à une faille d'un fichier index.php, comme on en trouve souvent dans le forum phpBB.

Donc le hacker lance cette ligne de commande (les arguments) en espérant qu'elle soit prise en compte.
Mais normalement, un fichier index.php non buggé ne les prendra pas. Donc, pas de risque.

Dan

Bonjour a tous,

ça y est Régis, me voilà
Pour completer le post ....j'ai analyser la requête et fait quelques recherche...
"mosConfig_absolute_path" est une variable de Mambo; jusqu'a la version 4.5.2.3 de mambo il y a une faille de sécurité (il existe un patch pour la corriger):
Je ne pense pas que le site soit visé directement (On n'utilise pas Mambo); je dirais plûtot qu'on cherche a utiliser une machine ou mambo est installé pour faire une attaque par rebond sur une autre cible....à vérifier...

Bonne journée à tous

OK merci à toi pour ces infos Baboon... cela est rassurant
A toute fin utile pour les utilisateurs de Mambo : sur l'URL que tu as donné => il y a un lien vers un correctif

C'etait une faille de php en fait si je me souviens bien.
Le ver qui l'utilisait etait santy (et s'etait specialisé entre autres sur phpbb mais beaucoup d'autres scripts étaient concernés). Il y a pas mal d'exemple de htaccess pour virer ce ver.
Il avait essayé de venir sur mon phpbb mais excepté la conso de bande passante, il n'avait rien pu faire.

François