Bonjour,
Je me permet de poster ici, je ne sais pas si je suis pas la bonne rubrique si ce n'est pas le cas j'en suis désolé
Voilà 15 jours que je me retrouve avec des fichiers non sollicité sur mon serveur dédié, aperçu suite à un backlistage depuis tous les jours je surveille et je me retrouver avec des fichiers que ClamAV me détecte (installer par mon hébergeur) je ne sais pas trop quoi faire et je desespere car j'ai fait plein de chose en vain
voici la liste effectuée (non exautive à force)
- modification des mots de passe FTP et POP
- passage des répertoire en CHMOD 505 et 705
- mise à jour de VBulletin en 4.2.3, CKFINDER, CKEDITOR entre autres
- mise en place d'un fichier htacess
- dans certain répertoire blocage du PHP : php_flag engine off
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13 ### FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE RewriteEngine On RewriteCond %{REQUEST_METHOD} (GET|POST) [NC] RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR] RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR] RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)http(%3A|:)(/|%2F){2}(.*)$ [NC,OR] ## ATTENTION A CETTE REGLE. ELLE PEUT CASSER CERTAINES REDIRECTIONS RESSEMBLANT A: http://www.truc.fr/?r=http://www.google.fr ## RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR] RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR] RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR] RewriteCond %{QUERY_STRING} ^(.*)(SELECT(%20|\+)|UNION(%20|\+)ALL|INSERT(%20|\+)|DELETE(%20|\+)|CHAR\(|UPDATE(%20|\+)|REPLACE(%20|\+)|LIMIT(%20|\+))(.*)$ [NC] RewriteRule (.*) - [F]
- passage des DNS chez Cloudflare (conseillé par mon hébergeur)
- mise en place du CAPTCHA google sur les formulaires
- tous les formulaires de recherche strigs_tags pour nettoyer la variable
malgré tous cela des fichiers sont toujours placé
que pouvez vous me conseillé car je ne vois pas où se trouve la faille..
il y a t'il un moyen de voir comment le hacker/bot si prend ? (ip, script...)
m'envoyé un email dès le changement d'un fichier sur le serveur afin de le supprimer directement sans faire un ClamAV ?
merci d'avance pour votre coup de main car je ne sais plus quoi faire
bon week end à vous
Partager