Attaque sur une page Web

[Wolf18]

Bonjour à tous !

J'aurais une nouvelle fois besoin de vos lumières. Des membres m'ont signalés que depuis environ une semaine il y avait quelque chose de bizarre sur le forum de mon site (un phpbb). Fermeture du navigateur Web, tentative d'intrusion etc...

J'ai donc décidé de voir ce qu'il se passait et effectivement, la page index du forum se charge normalement. Elle s'affiche, mais ca continue de charger et si on attends c'est le "drame". Mon parefeu m'informe qu'une attaque a été bloquée...

Description de l'attaque :

Intrusion.Generic.QTime.RTSP.buffer-overflow.exploit 78.109.16.106 TCP 1088

L'adresse IP source de l'attaque est toujours la même, par contre le port varie, tout à l'heure c'était 4153.

J'ai bloqué cette IP sur mon forum via le panneau d'administration, mais ca continue. J'ai regardé mon FTP, aucun fichier étrange à signaler (dans le passé j'avais déjà eu des fichiers "injectés").

En gros je ne sais plus quoi faire

Merci par avance de l'aide que vous pourrez m'apporter.

Edit: je ne mets volontairement pas l'url de la page concernée, c'est plus sur.

Modifié 27 Août 2007 par Wolf18

[Théo B.]

Google lit mieux l'anglais que moi.

Je te conseille d'aller jeter un oeil ici si tu es bilingue ou quasi :

http://forums.pcper.com/showthread.php?t=443579

[Wolf18]

Merci Théo B. mais je suis déjà tombé sur ce lien tout à l'heure, ils résolvent plutôt le problème côté client et non par rapport au site lui même qui est la source du problème.

Je pense que je vais désactiver le forum, je n'ai pas envie d'être responsable d'un tel acte malveillant.

Modifié 27 Août 2007 par Wolf18

[Wolf18]

Je crois que j'ai réussis à m'en débarrasser, je dis je crois parce que je ne sais pas si c'est réellement dut à la manipulation que j'ai réalisée.

Pour infos j'ai re-envoyé tous les fichiers de base de ma version de phpBB, puis j'ai changé de place le fichier config.php.

[Patt'molle]

Bonjour, désolé de remonter un vieux topic, mais peut-être que cela servira à quelqu'uns d'entre vous :

J'ai trouvé de la documentation sur phpBB-fr.com le site officiel du forum qu'utilise Wolf18.

[Doc] Sécurisez votre répertoire admin

[Doc] Sécurisez votre fichier config.php en le déplaçant

[Doc] Sécurisez votre fichier config.php en le cryptant

Voilà j'espère que ça servira, et désolé pour avoir remonter le topic, mais ceci m'a bien aidé.

Salutations Wolf18

[ortie458b]

Merci Patt'molle pour ces doc. Elles me seront très utile.

[captain_torche]

Ce qu'il faut surtout faire également, c'est mettre à jour les scripts dès qu'une nouvelle version stable sort.

[Wolf18]

Bonjour,

je me permets de remonter ce topic car je crois que je viens enfin d'éliminer la menaçe de mon site ! C'était en fait assez bête mais sous Firefox je ne voyais rien. En testant sous IE voici ce que j'ai vu : http://img366.imageshack.us/img366/1591/framesvk1.jpg

Deux belles frames cachées sur ma page (injectées dans la description du forum)

[Meschac]

Ils sont vraiment de plus en plus vicieux

Très bon a savoir en tout cas.Merci pour ce post intéressant

Et par hazard tu ne sais pas comment les frames se sont mis dans ton forum ? Ce n'était pas la dernière version à jours ?

Modifié 11 Mars 2008 par captain_torche
Inutile de citer le message précédent; on vient de le lire (captain_torche, modérateur)

[Wolf18]

La version n'est pas à jour, mais la dernière en date ne corrige pas ce problème d'aprés ce que j'ai lu sur le site officiel de phpbb. Il faut donc rester vigilant et vérifier fréquemment...

Par contre non, je ne sais absolument pas comment on peut arriver à faire quelque chose du genre, je l'avoue volontier ca me dépasse un peu