Bane IP : 72.46.130.186 - Hacker BOT

gnozys · 22 Décembre 2009

Bonjour,

Connaissez-vous cet IP ? Qui pourra me confirmer ?

Il se peut à 99% que l'ip est à l'origine des pirateries du genre eval(base64decode connu sous le nom de C99madshell.php Madnet Edition... Un sniffer et troyen piloté à distance.

Voilà un IP que je trouve suspect, je l'ai suivi dans les fichiers log et je l'ai analysé, il injecte des tonnes de method POST à tous les URL et selon moi détecte des failles sur le site et évalué comme très dangeureux par Mc Afee

72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO" "Mozilla/5.0 (compatible; Konqueror/3.3; Linux) (KHTML, like Gecko)" "-"
72.46.130.186 - - [22/Dec/2009:02:27:54 +0100] "POST /video/278098EAIO/michael-jackson HTTP/1.0" 403 - http://www.monsite.com "http://www.monsite.com/video/278098EAIO/michael-jackson" "Mozilla/4.0 (compatible; MSIE 5.15; Mac_PowerPC)" "-"

Pour la sécurité :
- La protection dans php.ini ->Disable functions: shell_exec.
- .htacess -> Deni from 72.46.130.186

Merci de votre réponse !

A+

Julia41 · 23 Décembre 2009

Tu peux l'iptables ou créer un jail fail2ban sur les POST (même GET) qui retourne un 403 (forbidden) mais ce type de scan est très fréquent, perso je dois avoir une centaine d'IP qui tentent des trucs de ce genre par jour.
Si tu souhaites protéger tes pages PHP qui ne doivent pas être POST tu peux commencer tes lignes par :
if (isset($_POST)) die();
mais les scans de ce type sont très fréquent si tu utilises joomla ou tout autre CMS. Pour ma part j'ai banni quelques ranges IP sur mes dédiés "persos".
Si tu utilises un CMS, tu peux aussi regarder s'il n'y a pas de faille 0Day qui sont sorties les derniers jours (généralement quand une faille joomla apparait, les sites joomla se font alors scanner x3 pendant une quinzaine de jours)

gnozys · 2 Février 2010

Mettre en echec les attaques Eval Base64_decode

Merci Pour l'info, c'est instructif.

Voila une formule issue d'un laboratoire de recherche ! Dans php.ini mettre les lignes suivantes

Code:

allow_url_fopen = Off; 
disable_functions = exec,passthru,shell_exec,system,proc_open,popen,parse_
ni_file,show_source,phpinfo,proc_open,base64_decode,base64_encodem,proc_terminate;

(Vous pouvez mettre allow_url_fopen = On pour des utilisations Curl et déplacement de fichier mais il est obligé de mettre disable_functions pour bloquer les familles d'attaque Base64_decode)

Merci pour tous ! C'est une bonne pratique après le banissement d'un IP.

hurdleur · 9 Mai 2010

Bonjour,

Avez vous fait une erreur pour la fonction parse_ni_file, c'est bien parse_ini_file que vous vouliez écrire ???

merci.