A nouveau piraté chez Justhost.com !

Pause Café
#1

Ça va devenir une habitude…

Sur mon domaine hotels-isalo.com, je viens de découvrir un nouveau répertoire ggobo.

Si ça vous amuse vous pouvez aller voir avant que je n’efface.

hotels-isalo.com/ggobo/

Je vais changer rapidement mon mot de passe (c’est fait)… L’ancien n’était pas si facile que ça pourtant… 4YQ(BM72
Cette fois-ci j’ai opté pour un 18 caractères…

Le but du hacker, comme la dernière fois, n’est pas de mettre en péril le site, mais de balancer des pages pleines de mots cles et de lien afin de tromper les moteurs de recherche.

La dernière fois j’avais repéré le coupable, une IP hollandaise. Je “dépiote” les logs en ce moment même pour trouver mon nouvel ami :mrgreen:

#2

Salut,

Dans mon firewall perso :

[quote]echo “- Bannis d’office : [OK]”
/sbin/iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
/sbin/iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
/sbin/iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
[/quote]

La liste n’est pas exhaustive :slightly_smiling: Chacun est libre de communiquer la sienne aux membres du forum.

En la mettant sur le wiki bien sûr pour que chacun puisse rajouter les siens sans que cela ne devienne un roman :slightly_smiling:

#3

Qu’est-ce que tu as comme sécurité ? Tu sais comment il a réussi à s’infiltrer ? En général c’est le FTP le coupable …

#4

Re,

Bingo :

Mais du coup c’est difficile de blacklister toute la série d’IP…inetnum: 213.5.64.0 - 213.5.71.255

Mais un truc m’échappe :[quote]country: NL

address: Belize City
address: Belize
[/quote]

#5

C’est pas trop dure de raconter n’importe quoi ! :wink: Tu aurais voulu qu’il te laisse son adresse postale aussi ? :075

#6

Effectivement! :mrgreen:
C’est chez un hébergeur, alors je n’ai pas de prise sur la sécurité.
C’est effectivement par le FTP comme tu as pu le voir. Je suppose que Justhost ne s’emmerde pas trop question sécurité…

Ce n’est pas un drame, rien n’est cassé. Mais c’est très énervant :005

#7

Tu te connectes comment à ce FTP ? On peut imaginer que tu te sois connecté via un Windows infecté qui a récupéré le login/passwd ou un webftp pas trop à jour…

Ce ne sont que des suppositions…

#8

Sans rapport avec ta malencontreuse aventure, je viens de relever une “anomalie” sur ton site :
Quand on passe à la traduction italienne,
“Le relais de la Reine” et “Le Jardin du Roy”
deviennent
La relais de la Reine” et “La Jardin du Roy”
Faudra que tu engueules ton webmaster :mrgreen: :mrgreen: :mrgreen:
(toujours aussi chiant ce Ricardo :083 )

#9

[quote=“lol”]Re,

Bingo :

Mais du coup c’est difficile de blacklister toute la série d’IP…inetnum: 213.5.64.0 - 213.5.71.255

Mais un truc m’échappe :[quote]country: NL

address: Belize City
address: Belize
[/quote][/quote]

?

#10

Re,

@AnatomicJC,
Je ne m’y connecte pratiquement jamais. Je ne m’étais pas connecté 6 mois avant l’attaque. Je pense plutôt à un “brut force” c’est pourquoi j’ai avancé que JustHost n’étaient pas très bon question sécurité…

@Ricardo,
Le Webmaster, c’est moi :mrgreen:
La traduction ce n’est pas moi et j’ai bêtement recopié ce qu’on a bien voulu me donner. Je vérifierais avec un Italien (j’en ai plein l’hôtel en ce moment) !

@Ggoodluck,
Je n’ai pas dit que ce n’était pas possible, mais je trouve gênant de blacklister toute une série d’IP. Enfin ça en fait que 1700… :wink: Mais ils ne sont pas tous coupables! :mrgreen:

#11

trop de majuscules meme avec ta parenthese c assez facile …le but est de mettre un de ce genre a titre d’exemple : X_4DfTv78|1[5Q6_nS

#12

trop de majuscules meme avec ta parenthese c assez facile …le but est de mettre un de ce genre a titre d’exemple : X_4DfTv78|1[5Q6_nS[/quote]
Avec quelques caractères moins usités c’est encore mieux genre :
¤µ&²°~Ñ

#13

Re,

L’important pour moi qui débute avec iptables c’est que tu sois d’accord avec la syntaxe :slightly_smiling:

/sbin/iptables -t filter -A INPUT -i eth0 -s 213.5.64.0/213.5.71.255 -j LOG_REJECT_SMTP et iptables également :laughing:

#14

Re,

[quote=“ggoodluck47”]Re,

L’important pour moi qui débute avec iptables c’est que tu sois d’accord avec la syntaxe :slightly_smiling:

Je ne me souviens plus. Je crois que c’est quelquechose comme ça :

#15

Si je me suis pas trompé dans mes calculs (il est tard…), -s 213.5.64.0/21 devrait être bon aussi.

#16

Salut,

Désolé pour toi. :confused:

kna a bon, vérifié ici:http://ip2cidr.com/ (1er trouvé…)

Je ne suis pas sûr que le blocage de plage d’IP soit la solution par contre.
Ni le changement de MdP: j’ai jamais vu un brute force avec autre chose qu’un dictionnaire en dehors des sites intéressants:wink:

#17

Salut,

[quote=“helid”]Salut,

Désolé pour toi. :confused:

kna a bon, vérifié ici:http://ip2cidr.com/ (1er trouvé…)

Je ne suis pas sûr que le blocage de plage d’IP soit la solution par contre.
Ni le changement de MdP: j’ai jamais vu un brute force avec autre chose qu’un dictionnaire en dehors des sites intéressants:wink:[/quote]

Je ne me suis pas connecté au FTP depuis mars.
L’attaque à eu lieu en juin. Mon mot de passe n’a pas été intercepté au cours d’une connexion non sécurisée. Je ne me connecte jamais depuis un client Windows (je n’ai pas de Windows :mrgreen: )

Fri Jan 15 02:29:17 2010 0 41.188.xxx.xxx 11 /home/johnny/public_ftp/welcome.msg b _ o r johnny ftp 1 * c Fri Mar 05 00:18:04 2010 1 41.188.xxx.xxx 8703 /home/johnny/public_html/lerelaisdelareine.com/it/le_relais_de_la_reine_parc_isalo_it.html~ b _ i r xxxxxx ftp 1 * c Fri Jun 18 19:01:00 2010 0 213.5.68.141 10323 /home/johnny/public_html/ggobo/iyg.php b _ i r johnny ftp 1 * c Mon Aug 09 02:36:38 2010 0 41.188.xxx.xxx 1754 /home/johnny/public_html/_vti_inf.html b _ o r johnny@hotels-isalo.com ftp 1 * c

Mon mot de passe, même s’il n’était pas très compliqué “4YQ(BM72” n’est pas dans les dictionnaires…

C’est la deuxième attaque de ce genre que j’ai à subir.
IP Hollandaise, Chez Justhost.com
Ou bien c’est un brut force, ou bien une fuite chez Justhost… (pas impossible non plus) !

#18

[quote=“ggoodluck47”]Re,

L’important pour moi qui débute avec iptables c’est que tu sois d’accord avec la syntaxe :slightly_smiling:

/sbin/iptables -t filter -A INPUT -i eth0 -s 213.5.64.0/213.5.71.255  -j LOG_REJECT_SMTP

Pour moi, être humain, ma syntaxe reste la plus lisible :slightly_smiling:
Le tiret à la place du / il aime pas à moins de lui spécifier iprange :mrgreen:
Mais j’ai noté l’adresse de ip2cidr :slightly_smiling:

A quand un résumé sur mon wiki préféré :slightly_smiling:

#19

[size=50]Désolé pour la remonté.[/size]

@ggoodluck47: Hem, :018 là ta syntaxe ne va pas:

Tu spécifies un masque de cette manière là.
La syntaxe de lol est correcte.

@lol: Tu leur as demandé des explications ?

#20

Salut,

[quote=“helid”]…
@lol: Tu leur as demandé des explications ?[/quote]

Oui… et pour la seconde fois, ils me renvoient dans les cordes…

“vérifiez votre machine, votre réseau, antivirus, antibot…”

Ils pensent que ça ne peut pas venir de chez eux, et pourtant… J’ai un doute, une fuite de leur côté n’est pas impossible…

Soit ils ont subit une “brut force attack” sur mon port ftp (et ils ne surveillent pas bien les scans de ports et autres tentatives de ce genre)
Soit quelqu’un de chez eux monnaye les mot de passe des clients ftp… pas complètement absurde, mais il faut le prouver.