Bonjour,
J'ai un problème assè lourd de sécurité web (ou réseau) : des liens de site chinois se greffent au footer de mon index.
Le code qui ajouté évolue pratiquement à chaque visites de ce bot.
Je dis "bot" car en analysant mon fichier de log xferlog je vois très clairement qu'une IP passe sur l'index de mon site puis la modifie (extrait du log concerné. Les éléments entre crochet ne sont que de la censure) :
Sat Aug 04 11:09:27 2012 0 ::ffff:94.98.137.106 409 /home/ovh/www/[NOM_DU_SITE]/index.php b _ o r [IDENTIFIANT_USER] ftp 0 * c
Sat Aug 04 11:09:28 2012 0 ::ffff:94.98.137.106 997 /home/ovh/www/[NOM_DU_SITE]/[NOM_DU_SITE].fr_index.php b _ i r [IDENTIFIANT_USER] ftp 0 * c
Sat Aug 04 11:09:29 2012 0 ::ffff:94.98.137.106 409 /home/ovh/www/[NOM_DU_SITE]/index.php b _ d r [IDENTIFIANT_USER] ftp 0 * c
...et ça ne dure que 3 secondes à chaque fois, c'est toujours les même action et avec des adresses IP différentes ( dont j'ai réussi à dresser une liste.... une liste qui s'étoffe trop, ce sont certainement des IP dynamique )
Après quelque Whois, ripe, dns-france j'ai récupérer beaucoup d'information concernant la source des adresses IP.
Ma sécurité actuelle :
- iptables avec une blackliste de CIDR
- droit d'accès au fichier index.php en 404
- htaccess avec blacklist encore (je deviens maniac )
Quelqu'un aurait une idée pour bloquer ces saletés ?
Partager