[spip-dev] Attaque ROBOT

AMEN_EDEM_KOKOUVI_HO · Mai 24, 2009, 12:19

Bonjour,
J’ai une Attaque Robot depuis 2 semaine j’utilise spip 1.9.2d et il s’est fait qu’un robot change a chaque fois mon fichier Index sur mon serveur .
Esc une Faille Spip ou bien je ne sait plus jai tellement chercher que la mmon dernier recours c’est sur le forum spip
Cdt

Achille · Mai 24, 2009, 12:38

Si tu parles de ton site:
http://www.peacejob.com/
déjà de base il faut mettre à jour:

Composed-By: SPIP 2.0.4

Achille

AMEN_EDEM_KOKOUVI_HO · Mai 24, 2009, 12:40

Rebonjour,
Non c’un site Commerciale .
www.meloger.sn

Bertrand_Marne · Mai 24, 2009, 1:01

Salut,

AMEN_EDEM_KOKOUVI_HO · Mai 24, 2009, 1:05

Salut !
c’est quoi ecran_securite ??
Le ROBOT vient de frapper encore ! Une chose est sur je connait les heure a laqelle il passe sur le seveur pour changer physiqemement mon fichier index dans le serveur !

cerdic · Mai 24, 2009, 1:07

La dernière mise a jour de la branche 1.9.2 est la 1.9.2h
http://files.spip.org/spip/archives/SPIP-v1-9-2h.zip

Des failles sérieuses ont en effet été corrigées.

Cédric

AMEN_EDEM_KOKOUVI_HO · Mai 24, 2009, 4:09

Rebonjour,
Je vien de finir la mise a jour au
1.9.2h mais aparement c’est pas la le blem !

LE robot a encore frapper il ya 9 min de cela !

JLuc · Mai 24, 2009, 5:52

AMEN EDEM KOKOUVI HOVI a écrit :

Rebonjour,
Je vien de finir la mise a jour au
1.9.2h mais aparement c'est pas la le blem !

LE robot a encore frapper il ya 9 min de cela !

Il y a d'autres scripts genre phpbb sur ton site ?
Quand tu as réinstallé, as tu effacé tous les fichiers
avant de réinstaller ?

JL

fil · Mai 24, 2009, 6:41

Ce qui peut aider ce serait que tu prélèves le fichier index.php
modifié, pour voir à quoi ressemble cette attaque, ainsi que les logs
apache et ftp autour du moment où le fichier a été modifié. En ce
moment l'attaque qui court s'appelle Gumblar, je l'ai (un tout petit
peu) documentée sur
http://zzz.rezo.net/Securite-attention-au-ver-Gumblar.html

Si tu es victime de Gumblar, c'est une attaque qui passe par ftp : il
faut impérativement changer tes mots de passe et changer de client
FTP. En plus c'est une attaque qui n'infecte pas seulement index.php
mais, grosso modo, *tous* les fichiers de ton site.

-- Fil

klaus · Mai 25, 2009, 2:48

Salut,

est-ce que vous connaissez ou avez déjà testé PHP-IDS ? Il me semble que c'est l'écran de sécurité SPIP +log +analyse des attaques. Voici un lien vers la page officielle :

http://php-ids.org/faq/

Je trouve l'approche des auteurs très intéressante puisqu'ils proposent d'aller au delà de la création des sites bien programmées en proposant un module indépendant pour parer des attaques.

klaus++

Fil schrieb: