Bonjour,
La technique des fichiers modifiés, je l'ai utilisé sur plusieurs sites
en prod, c'est juste inutilisable et chronophage vu le volume de
fichiers dès que l'on a plusieurs sites, même après des semaines de
réglages.
(du genre ne récupérer que les php, puis les parser pour voir si il
utilise des fonctions non autorisés, etc...)
Une autre technique qui fonctionne bien aussi côté mail, c'est limiter
la liste des expéditeurs autorisés.
(Côté serveur mail, c'est plus discret si quelqu'un qui regarde la conf
de la machine)
Et si un mail qui n'est pas d'un expéditeur autorisé (pas
"noreply@....." ou "newsletter@...." par exemple) le destinataire du
mail est réécrit pour le pointer vers l'admin et le mail est relayé.
Ça remplie la boite mail rapidement en cas d'attaque mais au moins ça
saute aux yeux :)
(A n'utiliser que vers une boite locale, sinon y'a un risque de blacklist)
Mais effectivement, rien de plus efficace que de maintenir ses sites à
jour !
Cordialement,
--
Guillaume Genty | WAYCOM
Directeur Technique Adjoint
24-28 Avenue du Général de Gaulle | F-92150 Suresnes, FRANCE
T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22
ggenty@waycom.net | www.waycom.net
Le 15/09/2014 19:19, Wallace a écrit :
> Le 15/09/2014 16:51, Frédéric VANNIÈRE a écrit :
>> Bonjour,
>>
>> Je cherche un SDK netapp pour analyser en temps réel les modifications
>> apportées sur le stockage de mon
>> hébergement mutualisé. J'ai plusieurs sites Wordpress ou Joomla qui se
>> font hacker tous les jours et
>> j'aimerai les capter avant qu'ils n'envoient du SPAM.
>>
>> Le fichier a comme nom : FPolicy_SDK_v7.3.?.zip
>>
>> Je suis aussi preneur si il y a une autre solution.
>>
>> Frédéric.
> Bonjour,
> Tu n'as pas peur d'avoir un listing gigantesque des fichiers modifiés
> dont sans doute plus de 99% seront légitimes?
>
> La meilleure solution pour ce genre de soucis c'est de firewaller la
> sortie en destination port 25 des serveurs et n'autoriser que tes
> serveurs de relai mails. Avec cela tu bloques les scripts planqués qui
> envoient en direct sans passer par mail() ou sendmail.
> Ensuite pour l'usage mail / sendmail tu mets en place un wrapper que tu
> déclares dans les php.ini des sites. Cela te permettra d'avoir des logs
> efficaces du site émetteur, de l'url qui a été appelée, du remote ip,
> date, heure, ... tout ce qu'il faut pour constater.
>
> Après de notre côté on s'arrête là et on accompagne le client pour faire
> les mises à jour / passer par une autre méthode, s'il ne veut pas ou ne
> coopère pas on désactive l'instance php de son site.
>
> A en parler
>
>
>
> _______________________________________________
> Liste de diffusion du FRsAG
>
http://www.frsag.org/
