osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> site hacké, fichier htaccess qui apparait a la racine du site
dav2706
posté 22 Jun 2011, 10:29
Message #1


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 31
Inscrit : 7-December 06
Membre no 13850



Bonjour,

Cela fait plusieurs mois que mon site est hacké et toujours de la meme maniere.
Le hacker met un fichier htaccess a la racine du site avec dedans cette ligne : php_value auto_append_file /homez.51/monsite/www/Thumbs.db
Le fichier thumbs.db contient une ligne avec @eval(base64_decode suivi d'une suite de caractere

La conséquence de tout ça c'est que l'acces au site est impossible (a cause du htaccess). J'ai beau supprimé manuellement ces deux fichiers,le site redevient opérationnele mais ces deux fichiers reviennent au bout de quelques temps.
C'est le seul probleme rencontré avec ce hack, rien n'est modifié dans le site
J'ai protégé l'acces a l'admin depuis le début avec un htaccess, et en renommant le repertoire, j'ai changé les mdp ftp. Les chmod sont bien réglés, j'ai supprimé aussi les fichier files_manager. Rien n'y fait.
J'ai deja fait plusieurs site avec osc et c'est la premiere fois que ca m'arrive, je suis sous osCommerce 2.2-MS2, hebergement ovh
Si quelqu'un a une idéee.. merci
Go to the top of the page
 
Havock
posté 23 Jun 2011, 08:06
Message #2


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 912
Inscrit : 4-February 04
Membre no 1926



Tu as probablement une faille de sécurité au niveau du serveur même.


--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
Juliettta
posté 24 Jun 2011, 13:27
Message #3


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 148
Inscrit : 30-April 08
Lieu : Nimes
Membre no 21642



Salut,

Perso, Je te conseille de changer tes mot de passe du FTP.

Bon courage


--------------------
Juliettta allias bloness

oscommerce-2.2RC1-FR-w3c CONTRIB => Advanced search attributies fullpackage AJAX-AttributeManager-V2.8.3 B2B Product Listing Columns Bbi_v2 CL_summary_info_v1.1 Colissimo_1_2_3_4_5_1 Contrib ExU-1 Dynamic_sitemap_v4.0 Fckeditor-oscommerce_v2.2.1 Featured_products_v1.5.5_1 Header-tags-4-novices-v3.01 InvoicePDF1.5_ LettreMax etDistingo More_Pics_Sur_FCKeditor_1_2_3 Newsletter_report_v1.1_full On-fire-osc PayPal_IPN_v2.3.4.5 Ot discount coupon codes fr PRODUCT QUICK EDIT V2.0 _ Queries_debug-v1.7 Ultimate_SEO_URLs_v2-2.2e virementbancaire1.3 mvs_shipestimator_v1.1a subcategory_textboxes_v2.0.3 Products_Short_Descriptions_V2_1 Graphical Borders & Individual Boxes Holiday_1 Loginbox_Best_Complete_1 Products_Short_Descriptions_V2_1 multiorders update V2-1 Opti_Print_v1.0.2-1 order_editor_5_0_9 ot_lotalty_discount v1.5 Produit vendu Send HTML Email Who's Online Enhancement v3_5_1
Plus d'autres petites améliorations par ci par la...Travaillée pour rester validé W3c Après toutes ces installations.
Go to the top of the page
 
Havock
posté 27 Jun 2011, 08:24
Message #4


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 912
Inscrit : 4-February 04
Membre no 1926



Julietta il semble que dav2706 l'ai déjà fait smile.gif
Citation
j'ai changé les mdp ft


--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
dav2706
posté 27 Jun 2011, 08:53
Message #5


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 31
Inscrit : 7-December 06
Membre no 13850



bonjour,
Merci pour les reponses mais je pense avoir trouvé. Suite a une recommandation d'un technicien ovh je suis aller voir ce site http://www.linuxuk.co.uk/protect-folders-w...index-p-42.html
Je n'avais pas mis de fichier index dans le repertoire des images, j'ai suivi l'astuce présentée sur le site et apres avoir installé ce fichier index j'ai reçu plusieurs messages m'indiquant que quelqu'un essayait d'acceder au repertoire image.
Apparament les fichiers htaccess et thumbs.db n'ont pas été rajouté a la racine du site depuis ce jour la. Mais bon je trouve bizarre que quelqu'un puisse accéder au repertoire racine du site par le biais du répertoire image.
Havock, le site est hébergé chez ovh, je pense que leur serveur est sécurisé non?
Merci en tout cas, je attendre un peu plus pour voir si l'attaque se reproduit ou si mon probleme est resolu
Go to the top of the page
 
Havock
posté 27 Jun 2011, 16:16
Message #6


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 912
Inscrit : 4-February 04
Membre no 1926



Citation
Havock, le site est hébergé chez ovh, je pense que leur serveur est sécurisé non?


ça dépend smile.gif

Si tu as un serveur dédié non infogéré c'est à toi de le sécuriser.
Si tu es sur un mutualisé c'est OVH qui s'en occupe, mais tu es à la merci des bêtises des autres utilisateurs du même serveur (il suffit qu'un couil*** installe n'importe quoi dans son répertoire principal pour faire courir des risques à tous ses colocataires biggrin.gif


--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
greuter
posté 27 Jun 2011, 19:36
Message #7


Ceinture bleue OSC
Icône de groupe

Groupe : Modérateurs
Messages : 1037
Inscrit : 16-December 02
Lieu : Est
Membre no 669



Citation
il suffit qu'un couil*** installe n'importe quoi dans son répertoire principal pour faire courir des risques à tous ses colocataires


Et entre parenthèse, la colocation n'est pas celle d'un petit appart...
Go to the top of the page
 
chti_poupon
posté 27 Jun 2011, 20:57
Message #8


Ceinture noire OSC
Icône de groupe

Groupe : TechDev
Messages : 2757
Inscrit : 9-September 08
Lieu : Douai
Membre no 22915



Citation (audioshop @ 26 Dec 2009, 12:54) *
Bon après quelques recherche ce n'est pas oscommerce qui est en cause mais phpmyvisite pour ceux qu'il l'utilise vous pouvez allez voir ce lien bien intérréssant:

Je suis Hacked!

De toute évidence phpmyvisite est vraiment à proscrire, j'utilise la dernière version à jours !


Il y a déjà eu ce fil (et les réponses suivantes) avec ce code @eval(base64_decode...
Peut être la solution dans ce cas ci aussi ?
Chti poupon
Go to the top of the page
 
Taaazzz
posté 29 Jun 2011, 10:46
Message #9


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 1
Inscrit : 29-June 11
Membre no 30005



J'ai déjà eu ce genre de hack aussi sur mon serveur web privé à la maison quand je ne m'y connaissais pas encore en dev et sécurité.

Tout d'abord, je t'invite à lire les logs de ton serveur web, dedans tu y trouvera tout ce dont tu as besoin pour te protéger, l'ip du gars qui t'attaque et très souvent, par ou il passe pour t'attaquer.
Mais dit toi aussi, que ce n'est surement pas les deux seul fichier qu'il a mit sur ton serveur, s'il sait rentrer, autant qu'il ce mettes plusieurs script dans plusieurs répertoires et surement avec des nom de tes propres script, donc pense à faire une recherche sur ses lignes de code directement dans tout tes fichiers (notepad++ le fait très bien), car si tu changes tes passes et vire tout ses script et que toi tu te fais un bon fichier htaccess ou tu bloques son ip (souvent ceux qui passes par ce genre de script son des noobies, donc pas dure à contrer) et quelques autres fonctions ça devrait allez.


Voici un exemple de fichier htaccess potables mais à adapter à ton site.


Code
######################################
#Auto protection du fichier .htaccess#
######################################
<Files ~ "^\.(htaccess|htpasswd)$">
    deny from all
</Files>


######################################################
#Empêche le listing de votre dossier et sous dossiers#
######################################################
    Options Indexes


##################################
#question sécurité supplémentaire#
##################################
#Hackeur
#-------
    deny from l'ip du gars qui postes ses scripts sur ton serveur


################################################################################
#################
#SEUL LE FICHIER index.php EST SERVI COMME PREMIER FICHIER PAR DEFAUT. LES AUTRES SONT INTERDITS#
#        Pensez à mettre un fichier index.php dans chaque dossier sinon il sera listable        #
################################################################################
#################
    DirectoryIndex index.php


#########################################################################
#INTERDIRE L'AFFICHAGE DE CERTAINS FORMATS DE FICHIER                     #
#EXÉCUTÉS PAR LE SERVEUR MAIS INTERDIT D'AFFICHAGE PAR LE NAVIGATEUR WEB#
#########################################################################
<Files ~ "\.(inc|class|sql|ini|conf|exe|dll|bin|tpl|bkp|dat|c|h|py|spd|theme|module)$">
    deny from all
</Files>

################################################################################
################
#INTERDIRE L'AFFICHAGE DE CERTAINS FICHIERS COMME config, option, login, setup, install, admin.#
#A ADAPTER SI CELA POSE PROBLEME                                                               #    
################################################################################
################
<Files ~ "^((wp-)?config(\.inc)?|configure|configuration|login|options?\.inc|option|settings?(\.inc)?|functions?(\.inc)?|setup(\.inc)?|default|home|main|install?|admin|errors?|hacke?r?d?|[-_a-z0-9.]*mafia[-_a-z0-9.]*|[-_a-z0-9.]*power[-_a-z0-9.]*|[-_a-z0-9.]*jihad[-_a-z0-9.]*|php|shell|ssh|root|cmd|[0-9]{1,6}|test|data)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml)$">
    order allow,deny
    deny from all
</Files>

################################################################################
####
#FILTRE CONTRE ROBOTS DES PIRATES ET ASPIRATEURS DE SITE WEB                       #
#LISTE ICI: http://www.bg-pro.com/?goto=badbot                                       #
#EXCEPTION: TOUS LES ROBOTS MEMES ANONYMES OU BANNIS PEUVENT ACCEDER A CES FICHIERS#
################################################################################
####
    RewriteCond %{REQUEST_URI} !^/robots.txt
    #RewriteCond %{REQUEST_URI} !^/sitemap.xml
################################################################################
###########################################################
#EXCEPTION: SI UTILISATION DE *PAYPAL INSTANT NOTIFICATION PAYMENT*, COMME PAYPAL N'UTILISE PAS DE HTTP_USER_AGENT, L'IPN NE MARCHERA PAS.#
################################################################################
###########################################################
    #RewriteCond %{REQUEST_URI} !^/paypal-ipn.php
##############
#Filtre Robot#
##############
    #RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR] ## ANONYMES
    #RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,}|^[A-Za-z]{3,}\ [a-z]{4,}\ [a-z]{4,} [OR] ## CEUX QUI INVENTENT DES NOMS AU HASARD
    #RewriteCond %{HTTP_USER_AGENT} ^<sc|<\?|8484\ Boston\ Project|autoemailspider|@nonymouse|ADSARobot|Advanced\ Email\ Extractor|^adwords|ah-ha|aktuelles|amzn_assoc|Anarchie|anonymous|Art-Online|ASPSeek|ASSORT|ATHENS|Atomz|attach|autoemailspider|BackWeb|Bandit|BatchFT
P|bdfetch|big.brother|BlackWidow|blogsearchbot-martin|bmclient|Boston\ Project|BravoBrian\ SpiderEngine\ MarcoPolo|Bullseye|bumblebee|capture|CherryPicker|ChinaClaw|CICC|clipping|compat
ible\ \;|Crescent|Crescent\ Internet|Custo|cyberalert|Deweb|diagem|Digger|Digimarc|DIIbot|DirectUpdate|disco
|DISCoFinder|Downloader|Download\ Accelerator|Download\ Demon|Download\ Wonder|Drip|DSurf15a|DTS.Agent|EasyDL|eCatch|echo\ extense|ecollector|efp@gmx\.net|EirGrabber|EmailCollector|EmailSiphon|Email\ Siphon|EmailWolf|Email\ Extractor|Express\ WebPictures|ExtractorPro [NC,OR] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
    #RewriteCond %{HTTP_USER_AGENT} EyeNetIE|fastlwspider|FavOrg|Favorites\ Sweeper|^Fetch|FEZhead|FileHound|flashget|FlashGet\ WebWasher|FlickBot|fluffy|frontpage|GalaxyBot|Generic|Getleft|GetRight|GetSmart|
GetWeb!|GetWebPage|gigabaz|Girafabot|Go!Zilla|go-ahead-got-it|GornKer|Grabber|GrabNet|Grafula|Green\ Research|grub-client|grub\ crawler|hanzoweb|Harvest|hhjhj@yahoo|hloader|HMView|HomePageSearch|HTTPConnect|h
ttpdown|httplib|HttpProxy|HTTP\ agent|http\ generic|HTTrack|ia_archive|IBM_Planetwide|IDBot|id-search|imagefetch|Image\ Stripper|Image\ Sucker|IncyWincy|Indy\ Library|informant|Ingelin|InterGET|InternetLinkAgent|InternetSeer\.com|^Internet\ Explorer|Internet\ Ninja|IPiumBot|Iria|Irvine|Jakarta\ Commons|JBH*Agent [NC,OR] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
    #RewriteCond %{HTTP_USER_AGENT} JetCar|JOC|JOC\ Web\ Spider|JustView|Kapere|KWebGet|Lachesis|larbin|LeechFTP|LexiBot|lftp|likse|Link*
Sleuth|LINKS\ ARoMATIZED|LinkWalker|Mac\ Finder|Mag-Net|Magnet|Mass\ Downloader|MCspider|Microsoft\ URL|Microsoft\ Data|MIDown\ tool|minibot\(NaverRobot\)|Mirror|Missigua|Mister\ PiX|MJ12bot|MMMtoCrawl\/UrlDispatcherLLL|Movable\ Type|Moozilla|^Mozilla$|^MSIE|Murzillo|MSProxy|multithreaddb|nationaldirectory|Navroad|NearSite|Ne
tAnts|NetCarta|NetMechanic|netprospector|NetResearchServer|NetSpider|NetZIP|NetZi
ppy|NetZip\ Downloader|Net\ Vampire|NEWT|nicerspro|NICErsPRO|NPBot|Nutch|Nutscrape/|Octopus|Offline\ Explorer|Offline\ Navigator|OmniExplorer|OpaL|Openfind|OpenTextSiteCrawler [NC,OR] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
    #RewriteCond %{HTTP_USER_AGENT} OrangeBot|PackRat|PageGrabber|Papa\ Foto|pavuk|pcBrowser|PersonaPilot|PingALink|Pockey|Program\ Shareware|Proxy|psbot|PSurf|psycheclone|^puf|Pump|PushSite|PussyCat|PycURL|pytho
n|QRVA|QuepasaCreep|RealDownload|Reaper|Recorder|ReGet|replacer|RepoMonkey|almade
n|Robozilla|Rover|RPT-HTTPClient|Rsync|SearchExpress|searchhippo|searchterms\.it|Second\ Street\ Research|Seeker|Shai|sitecheck|SiteMapper|SiteSnagger|SlySearch|SmartDownload|sn
agger|SpaceBison|Spegla|SpiderBot|SqWorm|Star\ Downloader|Stripper|sucker|SuperBot|SuperHTTP|Surfbot|SurfWalker|SurveyBot|Szuka
cz|tAkeOut|tarspider|Teleport\ Pro|Telesoft|Templeton|TrackBack|TrueRobot|Turing|TurnitinBot [NC,OR] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
    #RewriteCond %{HTTP_USER_AGENT} TV33_Mercator|UIowaCrawler|URL_Spider_Pro|^user|^User\ Agent:\ |^User-Agent:\ |UtilMind|Vacuum|vagabondo|vayala|visibilitygap|vobsub|VoidEYE|vspider|w3mir|Web
altBot|WebAuto|webbandit|WebCapture|Webclipping|webcollage|webcollector|WebCopier
|webcraft@bea|WebDAV|webdevil|webdownloader|Webdup|WebEmailExtractor|WebFetch|Web
Go\ IS|WebHook|Webinator|WebLeacher|WEBMASTERS|WebMiner|WebMirror|webmole|WebReaper|
WebSauger|WEBsaver|Website\ eXtractor|Website\ Quester|WebSnake|Webster|WebStripper|websucker|webvac|webwalk|webweasel|WebWhack
er|WebZIP|Web\ Data\ Extractor|Web\ Downloader|Web\ Image\ Collector|Web\ Sucker|web\.by\.mail|whizbang|WhosTalking|Widow|Widows|WISEbot|WISEnutbot|WUMPUS|Wweb|WWWO
FFLE|Wysigot|x-Tractor|Xaldon\ WebSpider|XGET|Yandex|Zeus|Zeus.*Webster [NC] ## VRAIS ET FAUX ROBOTS NE RESPECTANT PAS LES REGLES
    #RewriteCond %{HTTP_USER_AGENT} ^curl|^Fetch\ API\ Request|GT\:\:WWW|^HTTP\:\:Lite|httplib|^Java/1.|^Java\ 1.|^LWP|libWeb|libwww|^PEAR|PECL\:\:HTTP|PHPCrawl|^Program\ Shareware|python|Rsync|Snoopy|^URI\:\:Fetch|WebDAV|^Wget [NC] ## BIBLIOTHEQUES / CLASSES HTTP DONT ON NE VEUT PAS. ATTENTION, CELA PEUT BLOQUER CERTAINES FONCTIONS DE VOTRE CMS. NE PAS TOUT EFFACER, MAIS CHERCHEZ LE NOM DE LA CLASSE HTTP CONCERNEE (DEMANDEZ AUX DEVELOPPEURS DE VOTRE CMS). CETTE LISTE BLOQUE 80% DES ROBOTS SPAMMEURS. IL FAUT LA CONSERVER.
    #RewriteRule (.*) - [F]







####################################################################
#ON EVITE LE VOL D'IMAGES, VIDEO, SON, FEUILLE DE STYLE, PDF ET ZIP#
#LES VISITEURS DOIVENT PASSER PAR LE SITE.                            #
####################################################################
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http://[-_a-z0-9.]*DNS_SITE\.be$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://[-_a-z0-9.]*DNS_SITE\.be/.*$ [NC]
    RewriteCond %{HTTP_REFERER} !^http://ns142\.ovh\.net/~loginftp/.*$ [NC]
    RewriteRule .*\.(gif|jpe?g?|jp2|png|svgz?|ico|css|pdf|zip|gz|js|mp3|m4a|mp4|mov|divx|avi|wma?v?|wmp|swf|flv|docx?|xlsx?|pptx?|vbs|rtf|asf?x?|odt|ods|odp|odg|odb)$ - [NC,F]



################################################################################
#################################################################################
#FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE#
################################################################################
#################################################################################    
    RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
    RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)http(%3A|:)(/|%2F){2}(.*)$ [NC,OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER CERTAINES REDIRECTIONS RESSEMBLANT A: http://www.truc.fr/index.php?r=http://www.google.fr ##
    RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)(SELECT|INSERT|DELETE|CHAR\(|UPDATE|REPLACE|LIMIT)(.*)$
    RewriteRule (.*) - [F]

##################################
#DES FAUX URLS, ON LES NEUTRALISE#
##################################    
    RedirectMatch gone ^/_vti.*
    RedirectMatch gone ^/MSOffice.*
    RedirectMatch gone ^[-_a-z0-9/\.]*//.*
    RedirectMatch gone ^.*/etc/passwd.*
    
    
############################################################    
#FILTRE CONTRE PHPSHELL.PHP, REMOTEVIEW, c99Shell et autres#
############################################################
    RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99|r57|webadmin.*|phpge
t.*|phpwriter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
    RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
    RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/loginftp/(.*)$ [OR]
    RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
    RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
    RewriteCond %{QUERY_STRING} ^nts_[a-z0-9_]{0,10}=.*$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)cmd=.*$ [OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER VOTRE SITE ##
    RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]    
    RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|chbd|trojan|backc|massbrowsersploit|exploits|grablogins
|upload.*)|((chmod|f)&f=.*))$ [OR]
    RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftpquickbrute|security|sql|eval|upd
ate|feedback|cmd|gofile|mkfile)&d=.*$ [OR]
    RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree&d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)([-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmdir|pwd|clear|whoami|uname|tar|zip|u
nzip|tar|gzip|gunzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail|which|mkmode|tou
ch|logname|edit_file|search_text|find_text|php_eval|download_file|ftp_file_down|f
tp_file_up|ftp_brute|mail_file|mysql|mysql_dump|db_query)([^a-zA-Z0-9].+)*$ [OR]
    RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$
    RewriteRule (.*) - [F]
Go to the top of the page
 
ngmsky
posté 1 Jul 2011, 02:29
Message #10


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Citation (dav2706 @ 22 Jun 2011, 10:29) *
J'ai protégé l'acces a l'admin depuis le début avec un htaccess, et en renommant le repertoire, j'ai changé les mdp ftp. Les chmod sont bien réglés, ...

Bonjour Dav, je me demande comment a t-il reussi à inserer son script à partir de repertoire image alors que vous avez intéerdit l'écriture. Justement quelle chmod avez vous utilisez pour le repertoire images ?

De plus, je me demande comment son fichier de script est ensuite passé du dossier /image à la racine ?
Et pour finir, quel etait le chmod appliqué pour la racine ? normalement il ne pouvrrait pas modifier votre fichier htacces situé à la racine si un bon chmod y etait appliqué, non ?
J'essaye juste de comprendre, pour mieux se protéger demain.
En tout cas merci pour tes reponses.



Citation (Taaazzz @ 29 Jun 2011, 10:46) *
J'ai déjà eu ce genre de hack aussi sur mon serveur web privé à la maison quand je ne m'y connaissais pas encore en dev et sécurité.

Bonjour Taaazzz, J'aimerai savoir si ton serveur local avait pu gerer un grand nombre de client simultané. Je le demande parce que moi aussi je compte héberger mon site chez moi mais je me demandais si une connexion ADSL (115ko/s up et 550ko/s down) classique pourra supporter un site avec un trafique moyen de 300 visiteurs /jr.


Citation (Taaazzz @ 29 Jun 2011, 10:46) *
#Auto protection du fichier .htaccess#
<Files ~ "^\.(htaccess|htpasswd)$">
deny from all
</Files>

Je ne savais pas qu'un htaccess pouvait s'auto-protéger. Je pensais qu'il fallait en créer une autre. Merci pour l'infos.


Citation (Taaazzz @ 29 Jun 2011, 10:46) *
#Empêche le listing de votre dossier et sous dossiers#
Options Indexes

Par contre là, je crois que c'est une érreur. Ce code donnerai carrement l'inverse des resultats attendus.

Il fallait plutôt ecrire :
Code
Options -Indexes

Mieux encore
Code
Options FollowSymLinks -Indexes

ou tout simplement
Code
Options FollowSymLinks

Car FollowSymLinks indique au serveur apache de suivre les lien Symbolinks. Sans cette instruction, certaines instruction de réecriture d'url risquerai de ne pas marcher.

Merci pour tes reponses.


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 
dav2706
posté 18 Aug 2011, 16:52
Message #11


Ceinture blanche+ OSC
Icône de groupe

Groupe : Membres
Messages : 31
Inscrit : 7-December 06
Membre no 13850



Bonjour ngmsky,
desole pour la reponse tardive,
Malheureusement je ne sais pas trop quoi te repondre car je ne sais toujours comment le hacker a pu passé. Le chmod du repertoire image est en 705, et le meme pour le repertoire racine
Et il y a deux semaines il a meme reussi a modifié mon htacess de l'admin... Je sais pas comment c'est possible.
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 20:42
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)