Sécuriser son site web des attaques des pirates et hackers - Page 10

Gonab · 07/10/2010, 18h03

Citation:

Envoyé par enycu

Regarder dans les logs le nom du User-Agent de Facebook et ajouter la ligne suivante au fichier .htaccess en début de liste, au-dessus de la ligne bloquant les user-agents anonymes (remplacer xxxxx par une partie du nom du user-agent), comme ceci:

Code:

RewriteCond %{HTTP_USER_AGENT} !xxxxxx [NC]
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR] ## ANONYMES

Je ne le trouve pas bien méchant. Il devrait en effet d'abord lire le fichier robots.txt, mais à part se connecter 15 fois par jour à la page d'index, il ne fait rien d'autre... Sinon, pour le bloquer, il suffit simplement d'ajouter le mot sosospider dans la liste des robots à bloquer (en n'oubliant de séparer son nom des autres avec une barre verticale comme celle-ci | ).

Bonjour,

Je rencontre le même problème avec facebook. Par contre j'ai du mal a trouver le USER-AGENT pour Facebook. Je dois être moins bon que 10cre...

Si quelqu'un pouvait me donner un coup de main pour le trouver ?

D'avance merci,

Nicolas

Gonab · 08/10/2010, 14h05

Bon bah en fait j'ai trouvé...

Je donne la solution au cas ou...

Le User-Agent de facebook pour le partage de lien est : facebookexternalhit/1.1

En tout cas merci pour ce thread qui m'a appris pas mas de choses.

enycu · 02/01/2012, 21h38

Suite aux attaques des hackers turcs pendant les fêtes de fin d'année, j'ai mis à jour les règles de filtrage du fichier htaccess, seulement les règles 8 et 9.

Pour la règle 8, je précise la règle contre l'injection sql, en ajoutant le signe + à la suite d'une commande, pour éviter des faux positifs.
Pour la règle 9, j'ai ajouté la commande shell "concat" à filtrer.

Un ami a eu son site défacé et il a été spécifiquement visé, visé par un pirate, pas un robot. En analysant les logs, j'en ai profité pour mettre à jour ces règles.

balluzzo · 29/01/2012, 22h13

Bonjour,
Mon htaccess a bien grossi maintenant avec vos conseils.
J'ai eu une attaque le mois dernier avec un proc/self/environ sur une faille avec un include php. Le support OVH m'a renvoyé vers plusieurs liens dont celui de ce forum.
J'ai traitée la faille en php.
c'est facile à tester car j'ai recopié l'url dans la barre d'adresse et validé.

Le 20 janvier le site a de nouveau été attaqué.
Dans les logs j'ai trouvé "GET /url(data:image/png;base64,iVBORw0KGgoAAAANS.... .
Puis dans mon fichier index.php il y avait ceci :
/*68066*/ error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); @ini_set('display_errors','Off'); @eval( base64_decode('ZXJyb3JfcmVwb3J........
une frame était crée et loadait depuis un site vérolé.
Ma première question est : La ligne que j'ai trouvé dans le log correspond t'elle à une attaque ? réponse: oui car je viens de me ré-attaquer en ajoutant la ligne en fin d'adresse www.monadresse/index.php?url(data:i....
Dans le fichier htaccess de enycu j'ai trouvé la ligne qui bloque le base64_decode
j'ai ajouté cette ligne en dessous :
RewriteCond %{QUERY_STRING} ^(.*)base64(.*)$ [OR]
Ma seconde question est donc : est ce ainsi qu'il faut procéder ?
Le terme base64 est il dans un query dans mon cas??
un print_r($_request) montre que la ligne correspond à un nom de variable [url(data:image/png;base64,iVBORw0KG....]=>
et non a une valeur de variable
après cette modif l'attaque fonctionne toujours !

merci de vos lumières ?
webmaster bénévole en detresse

Anna-Dada · 01/04/2012, 19h05

Bonjour,
Voila ma petite contribution contre le piratage
Moi j'ajoute ce petit script dans mon fichier config pour éviter les attaques(enfin je pense).

Code PHP:


			
$domaine = "votre-site.com";

if ($_SERVER['SERVER_NAME'] != $domaine ) 
{ echo "Access denied"; die(); }

Daniel

ddavid · 09/04/2012, 16h52

Citation:

Envoyé par enycu

6- Interdiction du hotlinking. Remplacez mondomaine par votre nom de domaine, tld par fr com net org ..., et 60gp par 90plan, start1g, etc. selon votre hébergement, et remplacez loginftp par votre... login FTP.

Code:

### ON EVITE LE VOL D'IMAGES, VIDEO, SON, FEUILLE DE STYLE, PDF ET ZIP
### LES VISITEURS DOIVENT PASSER PAR LE SITE. 
RewriteEngine on 
RewriteCond %{HTTP_REFERER} !^$ 
RewriteCond %{HTTP_REFERER} !^http://[-_a-z0-9.]*mondomaine\.tld$ [NC] 
RewriteCond %{HTTP_REFERER} !^http://[-_a-z0-9.]*mondomaine\.tld/.*$ [NC] 
RewriteCond %{HTTP_REFERER} !^http://60gp\.ovh\.net/~loginftp/.*$ [NC] 
RewriteRule .*\.(gif|jpe?g?|jp2|png|svgz?|ico|css|pdf|zip|gz|js|mp3|m4a|mp4|mov|divx|avi|wma?v?|wmp|swf|flv|docx?|xlsx?|pptx?|vbs|rtf|asf?x?|odt|ods|odp|odg|odb)$ - [NC,F]

Bonjour Encyu et merci pour ce How-To très intéressant.

Néanmoins en ce qui concerne la partie hot-linking, dans le cas d'un blog ou d'un CMS doté d'un flux RSS/Atom, la protection risque d'empêcher la lecture correcte depuis des web-aggrégateurs (de type NetVibes, Google Reader), dès lors qu'un referrer est transmis. Ça me parait à prendre en compte, d'autant plus qu'il est très facile de ne pas tester suffisamment son propre flux...

ddavid · 27/04/2012, 19h23

À noter aussi, libwww-perl doit être enlevé/commenté/assoupli à chaque fois que l'on lance l'analyseur de script (du moins pour l'instant).

enycu · 30/04/2012, 02h48

... d'où l'intérêt de toujours tester toutes les fonctions de son CMS après installation de ces règles.

Mon expérience personnelle me montre que le pare-feu applicatif d'OVH basé sur modsecurity d'Apache (voir le Manager -> hébergement -> Pare-feu applicatif) crée aussi des problèmes comme les règles décrites ici. Mais, je préfère pouvoir contrôler et adapter mes réglages en conséquence, alors qu'avec le pare-feu applicatif, on ne peut rien changer, c'est tout ou rien. Dommage.

loren · 02/05/2012, 23h16

Bonjour,

Voici ma petite participation, si elle peut aider certain d'entre vous, pas de questions sur htaccess je suis aussi débutant.
C'est juste un ou deux petit trucs et astuces que j'utilise et que j'ai trouvées par-ci par là.

1) Protection d'une page Html avec java (assez sommaire pas compliquée à contourner). Mais je la trouve très utiles, si ont veux éviter le vol ou l'enregistrement de textes, de photos, etc. à l'écran.

// Activation/désactivation de la protection
//$protectHTML = false;
$protectHTML = true;

<?php if ($protectHTML == true) : ?>
<!-- On bloque l'accès à la souris pour bloquer l'accès au code HTML (securité toute relative... mdr

-->
<script type="text/javascript">
function mdr(e)
{try {if (event.button==2||event.button==3) return false;} catch (e) {if (e.which == 3) return false;}}
document.oncontextmenu = function() {return false;}
document.ondragstart = function() {return false;}
document.onselectstart = function() {return false;}
document.onmousedown = mdr;
</script>
<?php endif; ?>

2) Bloquer les attaques RFI de/en PHP, j'ai moi même été une cible facile à mes débuts.
A intégrer et utiliser sans se priver...

<?php
// AntiRFI - a enrichir selon besoin...
// Vérifie les caractères étranges dans $ _GET clés & Exit
// Toutes les touches avec "/" ou "\\" ou ":" sont bloqués.
// Pratiquement impossible d'injecter des pages ou sites Web

foreach ($_GET as $get_key => $get_value) {
if ((ereg("/", $get_value)) || (ereg("[\\]", $get_value)) || (ereg(":", $get_value))) {
eval("unset(\${$get_key});");
die("<center><b>Une tentative de piratage a été détecté. Pour des raisons de sécurité, nous bloquons toute exécution du code.</b></center>");
}
}
?>

3) Quelques petits blocages avec Htaccess qui m'ont été très utile : (revoir la syntaxe selon votre utilisation).

<Limit GET POST>
order allow,deny
deny from 217.133.53.120 # Bloque toute les plages relative à l'adresse...
deny from 217.193. # idem
deny from .ru # Bloque toute les plages Russe
deny from .br # Bloque toute les plages Brésilienne
deny from .cn # Bloque toute les plages Chinoise
allow from all
</Limit>

Options +FollowSymLinks

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
RewriteCond %{QUERY_STRING} base64_encode.*$.*$ [OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
#RewriteRule ^(.*)$ index.php [F,L]
RewriteRule . abuse.php [L]

RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [NC]
RewriteRule . abuse.php [L]

RewriteCond %{HTTP_USER_AGENT} ^BackWeb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Bandit [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^BatchFTP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^BecomeBot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [NC]
RewriteCond %{HTTP_USER_AGENT} ^IPiumBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Sucker [NC]

RewriteCond %{HTTP_REFERER} \.opendirviewer\. [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{HTTP_REFERER} users\.skynet\.be.* [NC,OR]
RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{REQUEST_URI} owssvr\.dll [NC,OR]
RewriteRule . abuse.php [L]
</IfModule>
Order allow,deny
Allow from all

ddavid · 10/05/2012, 10h01

Citation:

Envoyé par loren

1) Protection d'une page Html avec java (assez sommaire pas compliquée à contourner). Mais je la trouve très utiles, si ont veux éviter le vol ou l'enregistrement de textes, de photos, etc. à l'écran.

Bonjour,

Hormis pour les "attaques" par vol de contenu au copier/coller réalisées par des néophytes, ce type de protection ne sert à pas grand chose.

Néanmoins, pour faire de l'efficace avec du javascript contre le vol de contenu (ce qui peut être intéressant), le mieux n'est pas de chercher à bloquer, mais de maximiser l'opportunité d'être crédité comme source. En s'arrangeant pour insérer une notice de provenance du contenu au bon endroit au bon moment, beaucoup de copieurs travailleront pour vous sans même forcément y penser.

Modifier les flux RSS/Atom peut également être très recommendable...

Citation:

Envoyé par loren

<?php
// AntiRFI - a enrichir selon besoin...
// Vérifie les caractères étranges dans $ _GET clés & Exit
// Toutes les touches avec "/" ou "\\" ou ":" sont bloqués.
// Pratiquement impossible d'injecter des pages ou sites Web

foreach ($_GET as $get_key => $get_value) {
if ((ereg("/", $get_value)) || (ereg("[\\]", $get_value)) || (ereg(":", $get_value))) {
eval("unset(\${$get_key});");

Ça arrive malheureusement souvent que dans des CMS (Wordpress inclus), ce genre de filtres gêne l'administrateur...

Mettre des URLs en paramètre de façon légitime, ce n'est pas si rare que ça... (J'ai déjà eu une page à l'affichage bloqué après un update de WP)

Citation:

Envoyé par loren

3) Quelques petits blocages avec Htaccess qui m'ont été très utile : (revoir la syntaxe selon votre utilisation).

<Limit GET POST>
order allow,deny
deny from 217.133.53.120 # Bloque toute les plages relative à l'adresse...
deny from 217.193. # idem
deny from .ru # Bloque toute les plages Russe
deny from .br # Bloque toute les plages Brésilienne
deny from .cn # Bloque toute les plages Chinoise
allow from all
</Limit>

Deux remarques :
* Pour le GET, en général seul les URLs avec trop de paramètres sont utiles à bloquer sur des plages aussi larges... Les robots scanneurs d'adresse email faut lutter contre eux autrement de toute façon, seul la réduction des attaques devrait être le but de telles règles.
* Pour les règles de deny : non seulement les plages sont très (trop?) larges (je crois que si je vais un jour dans un de ces pays je serais obligé de prendre un VPN ou passer par un proxy socks over ssh), mais en plus elles ralentissent tout le monde. Tant que possible il faut laisser au serveur la possibilité de donner sa réponse sans avoir à faire préalablement une requête reverse DNS.

Cordialement,

08/10/2010, 14h05	#92
Gonab Membre Date d'inscription: septembre 2009 Messages: 8	Re : Sécuriser son site web des attaques des pirates et hackers Bon bah en fait j'ai trouvé... Je donne la solution au cas ou... Le User-Agent de facebook pour le partage de lien est : facebookexternalhit/1.1 En tout cas merci pour ce thread qui m'a appris pas mas de choses.

02/01/2012, 21h38	#93
enycu Membre Date d'inscription: décembre 2004 Messages: 3 224	Re : Sécuriser son site web des attaques des pirates et hackers Suite aux attaques des hackers turcs pendant les fêtes de fin d'année, j'ai mis à jour les règles de filtrage du fichier htaccess, seulement les règles 8 et 9. Pour la règle 8, je précise la règle contre l'injection sql, en ajoutant le signe + à la suite d'une commande, pour éviter des faux positifs. Pour la règle 9, j'ai ajouté la commande shell "concat" à filtrer. Un ami a eu son site défacé et il a été spécifiquement visé, visé par un pirate, pas un robot. En analysant les logs, j'en ai profité pour mettre à jour ces règles. __________________ Les Guides: Être hébergé chez OVH - Liste des Tutos du forum - Guides d'OVH Mes tutoriaux: Se protéger des pirates - Référencement - Backup web et MySQL Mail: règles et quotas - Multi-domaines Et aussi: xhtml et css - php et MySQL - Admin'OVH

29/01/2012, 22h13	#94
balluzzo Membre Date d'inscription: janvier 2012 Messages: 1	Re : Sécuriser son site web des attaques des pirates et hackers Bonjour, Mon htaccess a bien grossi maintenant avec vos conseils. J'ai eu une attaque le mois dernier avec un proc/self/environ sur une faille avec un include php. Le support OVH m'a renvoyé vers plusieurs liens dont celui de ce forum. J'ai traitée la faille en php. c'est facile à tester car j'ai recopié l'url dans la barre d'adresse et validé. Le 20 janvier le site a de nouveau été attaqué. Dans les logs j'ai trouvé "GET /url(data:image/png;base64,iVBORw0KGgoAAAANS.... . Puis dans mon fichier index.php il y avait ceci : /68066/ error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); @ini_set('display_errors','Off'); @eval( base64_decode('ZXJyb3JfcmVwb3J........ une frame était crée et loadait depuis un site vérolé. Ma première question est : La ligne que j'ai trouvé dans le log correspond t'elle à une attaque ? réponse: oui car je viens de me ré-attaquer en ajoutant la ligne en fin d'adresse www.monadresse/index.php?url(data:i.... Dans le fichier htaccess de enycu j'ai trouvé la ligne qui bloque le base64_decode j'ai ajouté cette ligne en dessous : RewriteCond %{QUERY_STRING} ^(.)base64(.)$ [OR] Ma seconde question est donc : est ce ainsi qu'il faut procéder ? Le terme base64 est il dans un query dans mon cas?? un print_r($_request) montre que la ligne correspond à un nom de variable [url(data:image/png;base64,iVBORw0KG....]=> et non a une valeur de variable après cette modif l'attaque fonctionne toujours ! merci de vos lumières ? webmaster bénévole en detresse

01/04/2012, 19h05	#95
Anna-Dada Membre Date d'inscription: mai 2009 Messages: 10	Re : Sécuriser son site web des attaques des pirates et hackers Bonjour, Voila ma petite contribution contre le piratage Moi j'ajoute ce petit script dans mon fichier config pour éviter les attaques(enfin je pense). Code PHP: `$domaine = "votre-site.com"; if ($_SERVER['SERVER_NAME'] != $domaine ) { echo "Access denied"; die(); }` Daniel

27/04/2012, 19h23	#97
ddavid Membre Date d'inscription: mars 2012 Messages: 294	Re : Sécuriser son site web des attaques des pirates et hackers À noter aussi, libwww-perl doit être enlevé/commenté/assoupli à chaque fois que l'on lance l'analyseur de script (du moins pour l'instant).

30/04/2012, 02h48	#98
enycu Membre Date d'inscription: décembre 2004 Messages: 3 224	Re : Sécuriser son site web des attaques des pirates et hackers ... d'où l'intérêt de toujours tester toutes les fonctions de son CMS après installation de ces règles. Mon expérience personnelle me montre que le pare-feu applicatif d'OVH basé sur modsecurity d'Apache (voir le Manager -> hébergement -> Pare-feu applicatif) crée aussi des problèmes comme les règles décrites ici. Mais, je préfère pouvoir contrôler et adapter mes réglages en conséquence, alors qu'avec le pare-feu applicatif, on ne peut rien changer, c'est tout ou rien. Dommage. __________________ Les Guides: Être hébergé chez OVH - Liste des Tutos du forum - Guides d'OVH Mes tutoriaux: Se protéger des pirates - Référencement - Backup web et MySQL Mail: règles et quotas - Multi-domaines Et aussi: xhtml et css - php et MySQL - Admin'OVH

02/05/2012, 23h16	#99
loren Membre Date d'inscription: octobre 2010 Messages: 5	Re : Sécuriser son site web des attaques des pirates et hackers Bonjour, Voici ma petite participation, si elle peut aider certain d'entre vous, pas de questions sur htaccess je suis aussi débutant. C'est juste un ou deux petit trucs et astuces que j'utilise et que j'ai trouvées par-ci par là. 1) Protection d'une page Html avec java (assez sommaire pas compliquée à contourner). Mais je la trouve très utiles, si ont veux éviter le vol ou l'enregistrement de textes, de photos, etc. à l'écran. // Activation/désactivation de la protection //$protectHTML = false; $protectHTML = true; <?php if ($protectHTML == true) : ?> <!-- On bloque l'accès à la souris pour bloquer l'accès au code HTML (securité toute relative... mdr --> <script type="text/javascript"> function mdr(e) {try {if (event.button==2\|\|event.button==3) return false;} catch (e) {if (e.which == 3) return false;}} document.oncontextmenu = function() {return false;} document.ondragstart = function() {return false;} document.onselectstart = function() {return false;} document.onmousedown = mdr; </script> <?php endif; ?> 2) Bloquer les attaques RFI de/en PHP, j'ai moi même été une cible facile à mes débuts. A intégrer et utiliser sans se priver... <?php // AntiRFI - a enrichir selon besoin... // Vérifie les caractères étranges dans $ _GET clés & Exit // Toutes les touches avec "/" ou "\\" ou ":" sont bloqués. // Pratiquement impossible d'injecter des pages ou sites Web foreach ($_GET as $get_key => $get_value) { if ((ereg("/", $get_value)) \|\| (ereg("[\\]", $get_value)) \|\| (ereg(":", $get_value))) { eval("unset(\${$get_key});"); die("<center><b>Une tentative de piratage a été détecté. Pour des raisons de sécurité, nous bloquons toute exécution du code.</b></center>"); } } ?> 3) Quelques petits blocages avec Htaccess qui m'ont été très utile : (revoir la syntaxe selon votre utilisation). <Limit GET POST> order allow,deny deny from 217.133.53.120 # Bloque toute les plages relative à l'adresse... deny from 217.193. # idem deny from .ru # Bloque toute les plages Russe deny from .br # Bloque toute les plages Brésilienne deny from .cn # Bloque toute les plages Chinoise allow from all </Limit> Options +FollowSymLinks <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=\|%3D) [OR] RewriteCond %{QUERY_STRING} base64_encode.\(.\) [OR] RewriteCond %{QUERY_STRING} (\<\|%3C).script.(\>\|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=\|\[\|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=\|\[\|\%[0-9A-Z]{0,2}) #RewriteRule ^(.)$ index.php [F,L] RewriteRule . abuse.php [L] RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [NC] RewriteRule . abuse.php [L] RewriteCond %{HTTP_USER_AGENT} ^BackWeb [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^Bandit [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^BatchFTP [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^BecomeBot [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [NC] RewriteCond %{HTTP_USER_AGENT} ^IPiumBot [OR] RewriteCond %{HTTP_USER_AGENT} ^Sucker [NC] RewriteCond %{HTTP_REFERER} \.opendirviewer\. [NC,OR] RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR] RewriteCond %{THE_REQUEST} \/\\ HTTP/ [NC,OR] RewriteCond %{HTTP_REFERER} users\.skynet\.be.* [NC,OR] RewriteCond %{QUERY_STRING} \=\\|w\\| [NC,OR] RewriteCond %{THE_REQUEST} etc/passwd [NC,OR] RewriteCond %{REQUEST_URI} owssvr\.dll [NC,OR] RewriteRule . abuse.php [L] </IfModule> Order allow,deny Allow from all Dernière modification par loren 02/05/2012 à 23h18

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email