Blocage Sentinel : votre analyse ? [RESOLU]

Dolovan · Assidu Inscrit le: Feb 21, 2007 Messages: 437

J'ai reçu cette alerte de blocage :

Date et heure: 2007-10-19 11:51:52 CEST GMT +0200
IP Bloquée: xx.xx.xxx.xxx
ID du membre: Anonyme (1)
Raison: Abuse-Filter
--------------------
Membre Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Requête tentée: monsite.com/modules.php?sid=21&gaLAcDfm92=&name=Forums&file=viewtopic&username=605205&p=14128&view=http://www.intel.com?&op=Fotolist&t=1231
Get String: monsite.com/modules.php?sid=21&gaLAcDfm92=&name=Forums&file=viewtopic&username=605205&p=14128&view=http://www.intel.com?&op=Fotolist&t=1231
Post String: www.peugeotserie6.com/modules.php
Référant de: none
IP client: none
Adresse Décellée: xx.xx.xxx.xxx
Port Décellé: 2504
Méthode de la requête: GET

Je ne m'en suis pas inquiété même si je me suis aperçu que bizarrement "605205" est un inscrit bien réel de mon site avec 148 messages à son actif depuis plus de 3 mois.

Jusqu'à avant-hier où cet inscrit s'est manifesté par Email en me disant qu'il n'arrivait plus à voir mon site, que ce soit avec IE ou Firefox : il tombe toujours sur une page blanche "Impossible d'afficher la page... Impossible de trouver le serveur ou erreur DNS"

Si c'était Sentinel qui l'avait bloqué (je n'ai pas vérifié la correspondance d'IP), il aurait la page noire template "filter", et j'ai vu que suite à cette attaque bloquée, il avait inscrit quelques messages sur plusieurs jours.

Peut-être qu'une faille a été utilisée sur le fait qu'il s'agisse d'un pseudo (le seul sur mon site) uniquement composé de chiffres ?
Bizarre qu'il ne puisse pas voir le site... à moins qu'il y ait un souci de DNS entre son FAI Club-Internet et mon registrar de nom de domaine, ce qui n'aurait rien à voir avec le script d'attaque (?)

Dolovan · Assidu Inscrit le: Feb 21, 2007 Messages: 437

Bonjour,

je ne peux déjà plus édité mon message ci-dessus Shocked

donc petit complément d'info : l'utilisateur en question a bien accès à stefvar.com cependant... je lui ai demandé d'effacer son historique (cookies etc.) dans IE, mais ce qui est bizarre c'est je lui l'ai fait installer un Firefox "neuf" et ça ne fonctionne pas non plus... ou alors il avait importé ses cookies dans celui-ci peut-être Rolling Eyes

stefvar

Bonjour,

Est ce que http://www.intel.com correspond au titre d'un sujet ?
Si tel n'est pas le cas, c'est une tentative d'inscription par une "vieille" faille de PHPBB et corrigé depuis. Pas mal de bots utilisent encore cette dernière et n'est pas bien méchante. Tout au plus verras tu des sujets "parasites", sauf si ta version de BBtoNuke est bien maintenu à jour.

Pour ce qui est de l'utilisateur, il faut que tu vérifie que ce dernier ne soit pas bloqué par Sentinel, tant dans l"administration que dans le htaccess si tu utilises cette option.
_________________
Avant de poster, lire la charte du forum, merci.

Dolovan · Assidu Inscrit le: Feb 21, 2007 Messages: 437

Merci pour ta réponse Stef,

pour le "intel", je me suis posé la question aussi, mais non ce mot n'a jamais été employé sur notre forum, à l'exception de 2 topics pour citer une configuration PC à base d'Intel (donc pas dans le titre et sans le .com ^^)

Concernant la version de mon BBtoNuke, c'est celle du package 8.03 SV, il me semble que c'est une version plus récente que dans les 8.1x si mes souvenirs sont bons ? donc pas facile de savoir ce qu'il vaut mieux avoir... et je ne pense pas qu'il y ait eu des patchs de mise à jour de sécurité depuis ?

Côté administration phpBB, j'ai (je ne sais pas si l'on peut s'y fier) :

"Informations de version

Votre installation est à jour, aucune mise à jour n'est disponible pour votre version de phpBB."

Suite à la tentative de hack citée ci-dessus, j'ai bien une adresse IP de bloquée par Sentinel, mais je ne sais pas si c'est celle de l'inscrit (ça me semble peu probable mais sait-on jamais avec un trojan sur son PC ?!), et surtout je me suis dit que si c'était Sentinel qui le bloque, il aurait eu droit d'une part à la fameuse page noire de Sentinel (j'ai vérifié, le template par défaut pour les Abuse-filter est bien en place) et d'autre part, il aurait été bloqué de suite après la détection de ce hack (le 19 octobre), or il a posté des messages sur le forum bien après cette date.

Sans que je l'ai incité à le faire (c'est dommage d'en arriver là mais bon...), vu qu'il n'a pas trop de connaissance en informatique (et moi la flemme de lui faire installer VNC sur sa machine pour vérifier par moi-même), il va formater son disque dur pour réinstaller windows, on verra bien donc !

stefvar

Re,

Une fois sa machine formatée, tout le monde en aura le coeur net même si la solution adoptée est quelque peu extrême.

Pour ce qui est des versions, non, la 8.03 n'est pas du tout la dernière. De mémoire c'est la 8.1.04 et je ne sais plus si durant les mises à jour successives, le forum a eu ou non des correctif de sécurité. De mémoire, toujours, je ne le pense pas.
_________________
Avant de poster, lire la charte du forum, merci.

Dolovan · Assidu Inscrit le: Feb 21, 2007 Messages: 437

Salut Stef,

Je parlais de la version de BBtoNuke, pas de phpNuke qui bien sûr n'est pas la dernière : dit de manière plus précise, il me semble qu'à partir des versions 8.1 de phpNuke, leur BBtoNuke est revenu à une version antérieure à celle du BBtoNuke de phpNuke 8.0... Donc il n'est pas très facile d'y voir clair au niveau des mises à jour de BBtoNuke, mais je suppose qu'il n'y a pas trop à s'inquiéter à partir du moment où Sentinel est à jour et BBtoNuke récent.

stefvar

Bonjour,

Pour BBtoNuke, sur les versions de SV PHP-Nuke, j'inclus toujours les dernières mises à jour et/ou correctif disponibles sur le site officiel de PHPBB. Ainsi, pas de mauvaise surprise pour ce qui est des versions. Vrai aussi qu'il est difficile de s'y retrouver avec tous ces numéros. Certain annonce un forum en 0.22 alors qu'après étude des fichiers il manque deux voire trois mise à jour Shocked

.
C'est un peu aussi pour cela que seul le support pour les scripts mis à dispositions sur ce site sont soutenus. Au moins, l'on sait à peut près de quoi l'on parle Laughing

.
_________________
Avant de poster, lire la charte du forum, merci.

Dolovan · Assidu Inscrit le: Feb 21, 2007 Messages: 437

Bonjour,

Alors quelques news pour clore ce topic avec un magnifique "RESOLU" en préfixe de titre Laughing

:

Le problème d'accès de 2 de mes inscrits à mon site (page blanche "Impossible d'afficher la page") venait en fait d'un banissement automatique par le Firewall de mon hébergeur : d'après lui, cela survient lorsque leur Firewall détecte des visiteurs "louches"... C'est donc avec plaisir que j'ai annoncé à ces deux personnes qu'ils sont "louches" mais heureusement "débannis" Laughing

Peut-être que l'alerte de Sentinel décrite ci-dessus a un lien avec tout ça pour l'un des ces visiteurs... avait-il un trojan sur son PC, nous ne le saurons pas, il a direct formaté son PC.