Bane IP : 72.46.130.186 - Hacker BOT
4 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
- gnozys
- Nouveau WRInaute
- Messages: 15
- Inscription: 24 Juin 2009
Bane IP : 72.46.130.186 - Hacker BOT
le Mar Déc 22, 2009 14:38
Bonjour,
Connaissez-vous cet IP ? Qui pourra me confirmer ?
Il se peut à 99% que l'ip est à l'origine des pirateries du genre eval(base64decode connu sous le nom de C99madshell.php Madnet Edition... Un sniffer et troyen piloté à distance.
Voilà un IP que je trouve suspect, je l'ai suivi dans les fichiers log et je l'ai analysé, il injecte des tonnes de method POST à tous les URL et selon moi détecte des failles sur le site et évalué comme très dangeureux par Mc Afee
72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO" "Mozilla/5.0 (compatible; Konqueror/3.3; Linux) (KHTML, like Gecko)" "-"
72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO/michael-jackson" "Mozilla/4.0 (compatible; MSIE 5.15; Mac_PowerPC)" "-"
Pour la sécurité :
- La protection dans php.ini ->Disable functions: shell_exec.
- .htacess -> Deni from 72.46.130.186
Merci de votre réponse !
A+
Connaissez-vous cet IP ? Qui pourra me confirmer ?
Il se peut à 99% que l'ip est à l'origine des pirateries du genre eval(base64decode connu sous le nom de C99madshell.php Madnet Edition... Un sniffer et troyen piloté à distance.
Voilà un IP que je trouve suspect, je l'ai suivi dans les fichiers log et je l'ai analysé, il injecte des tonnes de method POST à tous les URL et selon moi détecte des failles sur le site et évalué comme très dangeureux par Mc Afee
72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO" "Mozilla/5.0 (compatible; Konqueror/3.3; Linux) (KHTML, like Gecko)" "-"
72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO/michael-jackson" "Mozilla/4.0 (compatible; MSIE 5.15; Mac_PowerPC)" "-"
Pour la sécurité :
- La protection dans php.ini ->Disable functions: shell_exec.
- .htacess -> Deni from 72.46.130.186
Merci de votre réponse !
A+
-
Julia41 - WRInaute passionné
- Messages: 1734
- Inscription: 31 Aoû 2007
Re: Bane IP : 72.46.130.186 - Hacker BOT
le Mer Déc 23, 2009 13:30
Tu peux l'iptables ou créer un jail fail2ban sur les POST (même GET) qui retourne un 403 (forbidden) mais ce type de scan est très fréquent, perso je dois avoir une centaine d'IP qui tentent des trucs de ce genre par jour.
Si tu souhaites protéger tes pages PHP qui ne doivent pas être POST tu peux commencer tes lignes par :
if (isset($_POST)) die();
mais les scans de ce type sont très fréquent si tu utilises joomla ou tout autre CMS. Pour ma part j'ai banni quelques ranges IP sur mes dédiés "persos".
Si tu utilises un CMS, tu peux aussi regarder s'il n'y a pas de faille 0Day qui sont sorties les derniers jours (généralement quand une faille joomla apparait, les sites joomla se font alors scanner x3 pendant une quinzaine de jours)
Si tu souhaites protéger tes pages PHP qui ne doivent pas être POST tu peux commencer tes lignes par :
if (isset($_POST)) die();
mais les scans de ce type sont très fréquent si tu utilises joomla ou tout autre CMS. Pour ma part j'ai banni quelques ranges IP sur mes dédiés "persos".
Si tu utilises un CMS, tu peux aussi regarder s'il n'y a pas de faille 0Day qui sont sorties les derniers jours (généralement quand une faille joomla apparait, les sites joomla se font alors scanner x3 pendant une quinzaine de jours)
- gnozys
- Nouveau WRInaute
- Messages: 15
- Inscription: 24 Juin 2009
Mettre en echec les attaques Eval Base64_decode
le Mar Fév 02, 2010 12:07
Merci Pour l'info, c'est instructif.
Voila une formule issue d'un laboratoire de recherche ! Dans php.ini mettre les lignes suivantes
(Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)
Merci pour tous ! C'est une bonne pratique après le banissement d'un IP.
Voila une formule issue d'un laboratoire de recherche ! Dans php.ini mettre les lignes suivantes
- Code: Tout sélectionner
allow_url_fopen = Off;
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;
(Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)
Merci pour tous ! C'est une bonne pratique après le banissement d'un IP.
4 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Libwww-perl 5.69 : qu'elle est ce bot de hacker ?
- + 130% sur gogol !!!
- 130 internautes français déconnectés pour partage illégal...
- Google Wireless Transcoder : vieux Bot ou nouveau Bot ?
- http://64.192.130.141/cgi-bin/7upV2?query=ron devenir fou !
- IP google bot Vs Bot media partner ?
- Bot adSense et bot google
- fichier Sitemap.xml sur google: je rencontre un "130 Parsing error"
- Site hacker
- message d'un hacker
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Contact
Confidentialité