Bonjour,
La technique des fichiers modifiés, je l'ai utilisé sur plusieurs
sites en prod, c'est juste inutilisable et chronophage vu le
volume de fichiers dès que l'on a plusieurs sites, même après des
semaines de réglages.
(du genre ne récupérer que les php, puis les parser pour voir si
il utilise des fonctions non autorisés, etc...)
Une autre technique qui fonctionne bien aussi côté mail, c'est
limiter la liste des expéditeurs autorisés.
(Côté serveur mail, c'est plus discret si quelqu'un qui regarde la
conf de la machine)
Et si un mail qui n'est pas d'un expéditeur autorisé (pas
"noreply@....." ou
"newsletter@...." par exemple) le destinataire
du mail est réécrit pour le pointer vers l'admin et le mail est
relayé.
Ça remplie la boite mail rapidement en cas d'attaque mais au moins
ça saute aux yeux :)
(A n'utiliser que vers une boite locale, sinon y'a un risque de
blacklist)
Mais effectivement, rien de plus efficace que de maintenir ses
sites à jour !
Cordialement,
--
Guillaume Genty | WAYCOM
Directeur Technique Adjoint
24-28 Avenue du Général de Gaulle | F-92150 Suresnes, FRANCE
T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22
ggenty@waycom.net | www.waycom.net
Le 15/09/2014 19:19, Wallace a écrit :
Le 15/09/2014 16:51, Frédéric VANNIÈRE a écrit :
Bonjour,
Je cherche un SDK netapp pour analyser en temps réel les modifications
apportées sur le stockage de mon
hébergement mutualisé. J'ai plusieurs sites Wordpress ou Joomla qui se
font hacker tous les jours et
j'aimerai les capter avant qu'ils n'envoient du SPAM.
Le fichier a comme nom : FPolicy_SDK_v7.3.?.zip
Je suis aussi preneur si il y a une autre solution.
Frédéric.
Bonjour,
Tu n'as pas peur d'avoir un listing gigantesque des fichiers modifiés
dont sans doute plus de 99% seront légitimes?
La meilleure solution pour ce genre de soucis c'est de firewaller la
sortie en destination port 25 des serveurs et n'autoriser que tes
serveurs de relai mails. Avec cela tu bloques les scripts planqués qui
envoient en direct sans passer par mail() ou sendmail.
Ensuite pour l'usage mail / sendmail tu mets en place un wrapper que tu
déclares dans les php.ini des sites. Cela te permettra d'avoir des logs
efficaces du site émetteur, de l'url qui a été appelée, du remote ip,
date, heure, ... tout ce qu'il faut pour constater.
Après de notre côté on s'arrête là et on accompagne le client pour faire
les mises à jour / passer par une autre méthode, s'il ne veut pas ou ne
coopère pas on désactive l'instance php de son site.
A en parler
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/