Bane IP : 72.46.130.186 - Hacker BOT

Discussion dans 'Administration d'un site Web' créé par gnozys, 22 Décembre 2009.

  1. gnozys
    gnozys Nouveau WRInaute
    Inscrit:
    24 Juin 2009
    Messages:
    8
    J'aime reçus:
    0
    Bonjour,

    Connaissez-vous cet IP ? Qui pourra me confirmer ?

    Il se peut à 99% que l'ip est à l'origine des pirateries du genre eval(base64decode connu sous le nom de C99madshell.php Madnet Edition... Un sniffer et troyen piloté à distance.

    Voilà un IP que je trouve suspect, je l'ai suivi dans les fichiers log et je l'ai analysé, il injecte des tonnes de method POST à tous les URL et selon moi détecte des failles sur le site et évalué comme très dangeureux par Mc Afee

    72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO" "Mozilla/5.0 (compatible; Konqueror/3.3; Linux) (KHTML, like Gecko)" "-"
    72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO/michael-jackson" "Mozilla/4.0 (compatible; MSIE 5.15; Mac_PowerPC)" "-"

    Pour la sécurité :
    - La protection dans php.ini ->Disable functions: shell_exec.
    - .htacess -> Deni from 72.46.130.186

    Merci de votre réponse !

    A+
     
  2. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 779
    J'aime reçus:
    0
    Tu peux l'iptables ou créer un jail fail2ban sur les POST (même GET) qui retourne un 403 (forbidden) mais ce type de scan est très fréquent, perso je dois avoir une centaine d'IP qui tentent des trucs de ce genre par jour.
    Si tu souhaites protéger tes pages PHP qui ne doivent pas être POST tu peux commencer tes lignes par :
    if (isset($_POST)) die();
    mais les scans de ce type sont très fréquent si tu utilises joomla ou tout autre CMS. Pour ma part j'ai banni quelques ranges IP sur mes dédiés "persos".
    Si tu utilises un CMS, tu peux aussi regarder s'il n'y a pas de faille 0Day qui sont sorties les derniers jours (généralement quand une faille joomla apparait, les sites joomla se font alors scanner x3 pendant une quinzaine de jours)
     
  3. gnozys
    gnozys Nouveau WRInaute
    Inscrit:
    24 Juin 2009
    Messages:
    8
    J'aime reçus:
    0
    Mettre en echec les attaques Eval Base64_decode

    Merci Pour l'info, c'est instructif.

    Voila une formule issue d'un laboratoire de recherche ! Dans php.ini mettre les lignes suivantes

    Code:
    allow_url_fopen = Off; 
    disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
    ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
    (Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)

    Merci pour tous ! C'est une bonne pratique après le banissement d'un IP.
     
  4. hurdleur
    hurdleur Nouveau WRInaute
    Inscrit:
    18 Mai 2008
    Messages:
    2
    J'aime reçus:
    0
    Bonjour,

    Avez vous fait une erreur pour la fonction parse_ni_file, c'est bien parse_ini_file que vous vouliez écrire ???

    merci.
     
Chargement...
Similar Threads - Bane 130 186 Forum Date
de 13000 urls à 1 url indéxé du jours au lendemain Crawl et indexation Google, sitemaps 29 Octobre 2012