Bonsoir,
Je suis nouveau sur WRI, mais pas sur les forums en général, j'ai conscience qu'il y a certaines règles à respecter !
Avant de poster le message ici présent, j'ai bien effectué une recherche avancée pour le mot "phishing". J'ai lu attentivement les différents posts, mais hélas aucun ne m'apporte de réponses.
Mon problème est poster dans la rubrique .htaccess même s'il ne relate pas l'url rewriting mais plutôt la sécurité ou les restrictions d'accès. Il n'y avait pas trop de catégorie adapter à mon problème. (A noté que je me suis inscrit sur http://www.urlrewriting.fr/ et le support "anti-hack" renvoie vers votre site...)
Alors je m'explique. Tout d'abord je suis chez OVH, je possède un hébergement mutualisé "media plan" et j'ai monté récemment un site de rencontres. (A noter que je possède un autre site chez OVH, sur une base media plan également, et que je n'ai pas le problème que je vais vous décrire ci-après).
Depuis l'ouverture du site, mon ftp est soumis à des opérations de phishing.
Par exemple : http://niceone.fr/forum/www.hsbc.co.uk/ ... login.html
Donc, une ip créee un dossier à la base de mon ftp dans des répertoires déjà existant ou dans des nouveaux répertoires dans le "www".
Sauf que voilà, OVH passe mon site en état "hacké" et ce dernier devient inaccessible. Le support me laisse une note du genre :
Donc à partir de ce moment là, je vais faire un petit tour dans mon .htaccess afin de faire un deny from sur l'ip qui créer des dossiers. (deny from *** *** ** **) placé en début de fichier.
A noté que j'ai trouvé son ip grace au logs OVH (http://logs.ovh.net/niceone)
Réponse du support OVH (qui m'a pas beaucoup aider...)
Seulement voilà même avec un deny from, le propriétaire de l'ip arrive toujours a créer des dossiers dans le ftp.
A partir de ce moment là, je décide de rajouter un :
A noté également que l'index.php est protégé avec :
Plusieurs fichiers .php sont présents à la racine de mon site. Peut-être que le "hackeur" injecte des dossiers à partir d'une faille présente dans une page php à la racine du site ? dans ce cas est-il possible de protéger via le .htaccess l'ensemble des pages .php ?
Est-il possible de m'aider ?
Merci de m'avoir lu
Cordialement,
hugo
Je suis nouveau sur WRI, mais pas sur les forums en général, j'ai conscience qu'il y a certaines règles à respecter !
Avant de poster le message ici présent, j'ai bien effectué une recherche avancée pour le mot "phishing". J'ai lu attentivement les différents posts, mais hélas aucun ne m'apporte de réponses.
Mon problème est poster dans la rubrique .htaccess même s'il ne relate pas l'url rewriting mais plutôt la sécurité ou les restrictions d'accès. Il n'y avait pas trop de catégorie adapter à mon problème. (A noté que je me suis inscrit sur http://www.urlrewriting.fr/ et le support "anti-hack" renvoie vers votre site...)
Alors je m'explique. Tout d'abord je suis chez OVH, je possède un hébergement mutualisé "media plan" et j'ai monté récemment un site de rencontres. (A noter que je possède un autre site chez OVH, sur une base media plan également, et que je n'ai pas le problème que je vais vous décrire ci-après).
Depuis l'ouverture du site, mon ftp est soumis à des opérations de phishing.
Par exemple : http://niceone.fr/forum/www.hsbc.co.uk/ ... login.html
Donc, une ip créee un dossier à la base de mon ftp dans des répertoires déjà existant ou dans des nouveaux répertoires dans le "www".
Sauf que voilà, OVH passe mon site en état "hacké" et ce dernier devient inaccessible. Le support me laisse une note du genre :
Vous trouverez une dfinition du terme Phishing (ou Hameonnage ou
Filoutage) l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA ... .html#hame
Nous avons procd la suspension de votre service d'hbergement pour couper l'accs cette page. Nous avons laiss votre accs FTP ouvert pour vous permettre de corriger les lments mis en ligne par le hacker.
Nous vous invitons modifier les droits/permissions 000 pour couper l'accs aux pages signales.
Donc à partir de ce moment là, je vais faire un petit tour dans mon .htaccess afin de faire un deny from sur l'ip qui créer des dossiers. (deny from *** *** ** **) placé en début de fichier.
A noté que j'ai trouvé son ip grace au logs OVH (http://logs.ovh.net/niceone)
Réponse du support OVH (qui m'a pas beaucoup aider...)
Code:
Dans votre situation, je vous invites à mettre la ligne "deny from 86.24.160.220" (sans majuscule) au début de votre fichier .htaccess
Je vous recommande aussi de vérifier le type d'intrusion que vous subissez en consultant vos logs bruts :
http://logs.ovh.net/niceone.fr (l'identification est la même que pour le Manager).
Si une tierce personne arrive a injecté des informations sur votre hébergement le but n'est pas de bloquer l'Ip qu'il utilise mais de corriger la faille qui permet l'injection. Un pirate peut très facilement changer d'adresse Ip.
Cordialement, Julien B.
Seulement voilà même avec un deny from, le propriétaire de l'ip arrive toujours a créer des dossiers dans le ftp.
A partir de ce moment là, je décide de rajouter un :
afin de protéger mes accès au dossier, mais pas moyen régulièrement je retrouve des dossiers liés au phishing.# deny most common except .php
<FilesMatch "\.(inc|admin|etcetcetcetcl)$">
deny from all
</FilesMatch>
A noté également que l'index.php est protégé avec :
<Files ~"\index.php$">
deny from all
</Files>
Plusieurs fichiers .php sont présents à la racine de mon site. Peut-être que le "hackeur" injecte des dossiers à partir d'une faille présente dans une page php à la racine du site ? dans ce cas est-il possible de protéger via le .htaccess l'ensemble des pages .php ?
Est-il possible de m'aider ?
Merci de m'avoir lu
Cordialement,
hugo