|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
bproductiv
WRInaute accro
Inscrit le: 27 Déc 2004
Messages: 2272
Localisation: La roche s/ yon
|
 Posté le : Jeu Juin 14, 2007 12:50 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
 Hé oui comme le titre l'indique, je me pose des questions par rapport au bot ichiro/2.0.
J'explique, un client (dont le site date de decembre dernier) me demande une modif pour etre dans la legalite car un texte de loi a changé (enfin bref c'est pas le sujet ici), et donc je le fais et là!
Ho surprise, la base de donnée à été vidée!
Bon je sais ca peut arrivé, mais en plus les images et fiches technques sur le serveur sont supprimées, ce qui indique que les delete ont été lancés de l'administration en ligne "sécurisée" par un mot de passe (+ ou - complexe mais pas de base).
Dans les logs à la date de modifs de la base de donnée, je retrouve en effet une activité du pannel d'admin et ce n'est pas mon client.
Voici les lignes en questions
| Code: |
210.150.10.104 - - [02/Jun/2007:05:39:47 +0200] "GET /WebAdmin/index.php?act=news&act_news=del&id_news=8 HTTP/1.1" 302 2822 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:41:51 +0200] "GET /WebAdmin/index.php?act=news&act_news=del&id_news=5 HTTP/1.1" 302 2822 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:43:55 +0200] "GET /WebAdmin/?act=occaz&edit=1 HTTP/1.1" 302 2852 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:45:59 +0200] "GET /WebAdmin/?act=neuf&edit=1 HTTP/1.1" 302 5443 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-"
210.150.10.104 - - [02/Jun/2007:05:48:04 +0200] "GET /WebAdmin/?act=pass&see=1 HTTP/1.1" 302 3492 www.xxxx.fr "-" "ichiro/2.0 (http://help.goo.ne.jp/door/crawler.html)" "-" |
Alors oui je viens de voir que j'ai oublié de mettre un robots.txt (chose que je viens de faire), je viens de modifier les codes FTP et BDD + ajout d'un htaccess pour restreindre l'acces a l'admin en + du login déja existant.
Comment un moteur de recherche peux réussir à casser un code?
Les autres pages ne sont accessible qu'apres identification !!
J'avoue etre sur le cul par cette decouverte etrange,
Est ce un hacker qui se fait passer pour ichiro? ou ichiro est un crawler/hacker  ?
Qu'en pensez vous? |
|
| |
|
 |
Serious
WRInaute accro
Inscrit le: 21 Nov 2005
Messages: 2437
|
|
| |
|
|
rikew
WRInaute impliqué
Inscrit le: 19 Déc 2002
Messages: 448
Localisation: Marseille
|
| Posté le : Jeu Juin 14, 2007 13:48 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
change aussi le nom du repertoire d'administration ...
admin/, administration/, webadmin/ ...
c'est pas top. |
|
| |
|
|
bproductiv
WRInaute accro
Inscrit le: 27 Déc 2004
Messages: 2272
Localisation: La roche s/ yon
|
| Posté le : Jeu Juin 14, 2007 13:56 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
Ok c'est ichiro, mais comment a-t'il réussi à passer l'athentification?
il a un keygen d'intégré  ?? |
|
| |
|
|
rog
WRInaute accro
Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
|
| Posté le : Jeu Juin 14, 2007 15:41 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
il a rien réussi à passer puisque la reponse de ton server est 302
rog |
|
| |
|
|
bproductiv
WRInaute accro
Inscrit le: 27 Déc 2004
Messages: 2272
Localisation: La roche s/ yon
|
| Posté le : Jeu Juin 14, 2007 15:54 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
Oui il passe où les autres trépasse, c'est facile techniquement à faire ca quand il y a une authentification demandée?
C'est grave quand même, n'est ce pas docteur? Si il se met a effacer toutes les bases de données de gros sites (style wri, etc) ca va faire du grabuge ! |
|
| |
|
|
sonikbuzz
WRInaute impliqué
Inscrit le: 21 Fév 2005
Messages: 440
Localisation: Gressy 77 Montpellier 34 [france]
|
| Posté le : Jeu Juin 14, 2007 22:53 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
| rog a écrit: |
il a rien réussi à passer puisque la reponse de ton server est 302
rog |
bproductiv > il n'est PAS passé . |
|
| |
|
|
bproductiv
WRInaute accro
Inscrit le: 27 Déc 2004
Messages: 2272
Localisation: La roche s/ yon
|
| Posté le : Ven Juin 15, 2007 8:29 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
| sonikbuzz a écrit: |
| rog a écrit: |
il a rien réussi à passer puisque la reponse de ton server est 302
rog |
bproductiv > il n'est PAS passé . |
Peux tu approfondir un peu ta réflexion sonikbuzz  car il m'a quand même effacer toutes mes entrées dans la base de donnée en suivant les liens dans l'admin ! 
Et c'est vrai que quand c'est code 302 c'est que la ressource est trouvée, non? |
|
| |
|
|
rog
WRInaute accro
Inscrit le: 21 Sep 2006
Messages: 1662
Localisation: sapucaia do sul (RS)
|
| Posté le : Ven Juin 15, 2007 12:44 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
302 c'est une redirection donc il n'est pas passé sinon la reponse http serait 200 OK
si tes données ont été effacées sur le passage du bot ce n'est certainement pas sa faute
la seule explication plausible serait un mauvais parametrage d'un systeme de cache (que je ne maitrise pas) qui aurait redirigé vers une page en ccache sans sans tenir compte de la query
et le cache ne rencontrant pas la page de resultat aurait effectué la requête
| Citation: |
30x Redirection Ces codes indiquent que la ressource n'est plus à l'emplacement indiqué
301 MOVED Les données demandées ont été transférées a une nouvelle adresse
302 FOUND Les données demandées sont à une nouvelle URL, mais ont cependant peut-être été déplacées depuis...
303 METHOD Cela implique que le client doit essayer une nouvelle adresse, en essayant de préférence une autre méthode que GET
304 NOT MODIFIED Si le client a effectué une commande GET conditionnelle (en demandant si le document a été modifié depuis la dernière fois) et que le document n'a pas été modifié il renvoie ce code.
|
|
|
| |
|
|
sonikbuzz
WRInaute impliqué
Inscrit le: 21 Fév 2005
Messages: 440
Localisation: Gressy 77 Montpellier 34 [france]
|
| Posté le : Ven Juin 15, 2007 13:41 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
| bproductiv a écrit: |
| sonikbuzz a écrit: |
| rog a écrit: |
il a rien réussi à passer puisque la reponse de ton server est 302
rog |
bproductiv > il n'est PAS passé . |
Peux tu approfondir un peu ta réflexion sonikbuzz car il m'a quand même effacer toutes mes entrées dans la base de donnée en suivant les liens dans l'admin !
Et c'est vrai que quand c'est code 302 c'est que la ressource est trouvée, non? |
302 c'est une redirection . un code ok c'est 200 .
Logiquement tu devrais avoir une autre ligne en 200 (apres celle en 302) indiquant donc que la page a été affichée et traitée correctement.
Le truc bizarre c'est les url avec variables donc a priori l'admin a bien était crawlée 
Il y avait un lien vers l'admin sur ton site ? si oui c'est pas une bonne chose
PS: je ne suis pas un specialiste des log apache, je reprenais juste les propos de rog dont tu ne semblais pas tenir compte. |
|
| |
|
|
bproductiv
WRInaute accro
Inscrit le: 27 Déc 2004
Messages: 2272
Localisation: La roche s/ yon
|
| Posté le : Ven Juin 15, 2007 14:15 Sujet du message: Ichiro 2.0, Mass deleter, hacker? |
|
|
Ha désolé j'avais mal lu le premier post de rog...
Bon ben le mystere reste quand mm entier, enfin j'ai pris les disposition necessaire depuis je ne devrais plus avoir ce genre de soucis, enfin je le souhaite !
Merci a tous pour vos éclaircissements |
|
| |
|
|
| |
|
|
