nyet.gif - Version imprimable +- Forum CMS Made Simple FR (https://www.cmsmadesimple.fr/forum) +-- Forum : Général (https://www.cmsmadesimple.fr/forum/forum-3.html) +--- Forum : Général (https://www.cmsmadesimple.fr/forum/forum-10.html) +--- Sujet : nyet.gif (/thread-3394.html) |
nyet.gif - archeo - 28/01/2015 Citation :#~~~~~ DEBUT BLOC A NE PAS SUPPRIMER ~~~~~ En consultant mes log ce matin j'ai trouvé 4 erreurs 404 pour une requête de /nyet.gif fichier qui n'existe pas sur mon site. Une étude plus attentive montre : un PUT /nyet.gif suivi d'un GET /nyet.gif à 06:15 de l'IP 62.221.207.105 précédé de GET //index.php puis même chose à 09:18. de l'IP 82.98.177.127 Si je ne me trompe pas c'est la signature d'une tentative de Hacking. Y-t-il des moyens d'y faire face? Tous les répertoires sont si possibles à 505 (sauf le répertoire racine www) et les fichiers à 404. nyet.gif - jce76350 - 28/01/2015 Déjà bloquer les IPs pas htaccess peut etre nyet.gif semble une super attaque nyet.gif - archeo - 28/01/2015 Il a Hacké le service des cartes d'identités :mad: Les adresses changent en permanence. Je pensais à interdire PUT dans le .htacess avec quelque chose du genre <Limit PUT DELETE> order deny,allow deny from all </Limit> Je vais aussi activer le pare-feu chez OVH nyet.gif - archeo - 31/01/2015 Le pare feu c'était une mauvaise idée cela a provoqué une cascade d'erreurs, le blocage de toutes les images de la page d'accueil et leur redirection vers des pages en https. Je n'ai pas trouvé de doc sur le pare feu pour les sites mutualisés chez OVH, je continue à chercher. Finalement j'ai ajouté les lignes suivantes dans le .httacess # on interdit les méthode PUT et DELETE <Limit PUT DELETE> order deny,allow deny from all </Limit> # on interdit (off) ou on autorise les uploads (on) <IfModule mod_php5.c> php_flag file_uploads Off </IfModule> ce matin j'ai eu ceci dans le log des erreurs : [Sat Jan 31 09:43:13 2015] [error] [client 195.238.74.39] [host www.evolution-biologique.org] client denied by server configuration: /homez.626/evolutionk/www/nyet.gif et ceci dans le log des connexions : 195.238.74.39 www.evolution-biologique.org - [31/Jan/2015:09:43:12 +0100] "GET //index.php HTTP/1.1" 200 71638 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)" 195.238.74.39 www.evolution-biologique.org - [31/Jan/2015:09:43:13 +0100] "PUT /nyet.gif HTTP/1.1" 403 210 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)" 195.238.74.39 www.evolution-biologique.org - [31/Jan/2015:09:43:13 +0100] "GET /nyet.gif HTTP/1.1" 404 58427 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)" C'est contraignant mais j'espère efficace. Pourquoi un double slash dans" GET //index.php" ? De toute façon même avec plein de slash le site comprend la requête. Est-il possible de remplacer index.php par autre chose? Comme cela il aurait un 404 dés sa première requête. nyet.gif - archeo - 26/03/2015 Toujours en analysant mes log j'ai trouvé des choses étranges : Awstats m'indique des "Liens depuis une page externe" qui sont tous sur des sites russes. Le comportement est toujours le même : chaque site fait 3 connexions successives toujours à la même page sans afficher son contenu (les images ne sont pas utilisées). J'ai environ 8 sites qui se connectent chaque jour certains reviennent. En tout j'en suis à environ 70 différents depuis début février. je ne comprends pas l’intérêt de ce comportement sauf si la page de mon site devient elle même un "Lien depuis une page externe" en se connectant 3 fois chez quelqu'un d'autre? nyet.gif - Jean le Chauve - 26/03/2015 Cela s'appelle du "pourriel de référant" : http://fr.wikipedia.org/wiki/Pourriel_de_r%C3%A9f%C3%A9rant Voici une solution à cette nuisance : http://www.besthostratings.com/articles/block-referrer-spam.html |