Bonjour,
Je cherche un SDK netapp pour analyser en temps réel les modifications apportées sur le stockage de mon hébergement mutualisé. J'ai plusieurs sites Wordpress ou Joomla qui se font hacker tous les jours et j'aimerai les capter avant qu'ils n'envoient du SPAM.
Le fichier a comme nom : FPolicy_SDK_v7.3.?.zip
Je suis aussi preneur si il y a une autre solution.
Frédéric.
Le 15/09/2014 16:51, Frédéric VANNIÈRE a écrit :
Bonjour,
Je cherche un SDK netapp pour analyser en temps réel les modifications apportées sur le stockage de mon hébergement mutualisé. J'ai plusieurs sites Wordpress ou Joomla qui se font hacker tous les jours et j'aimerai les capter avant qu'ils n'envoient du SPAM.
Le fichier a comme nom : FPolicy_SDK_v7.3.?.zip
Je suis aussi preneur si il y a une autre solution.
Frédéric.
Bonjour, Tu n'as pas peur d'avoir un listing gigantesque des fichiers modifiés dont sans doute plus de 99% seront légitimes?
La meilleure solution pour ce genre de soucis c'est de firewaller la sortie en destination port 25 des serveurs et n'autoriser que tes serveurs de relai mails. Avec cela tu bloques les scripts planqués qui envoient en direct sans passer par mail() ou sendmail. Ensuite pour l'usage mail / sendmail tu mets en place un wrapper que tu déclares dans les php.ini des sites. Cela te permettra d'avoir des logs efficaces du site émetteur, de l'url qui a été appelée, du remote ip, date, heure, ... tout ce qu'il faut pour constater.
Après de notre côté on s'arrête là et on accompagne le client pour faire les mises à jour / passer par une autre méthode, s'il ne veut pas ou ne coopère pas on désactive l'instance php de son site.
A en parler
Bonjour,
La technique des fichiers modifiés, je l'ai utilisé sur plusieurs sites en prod, c'est juste inutilisable et chronophage vu le volume de fichiers dès que l'on a plusieurs sites, même après des semaines de réglages. (du genre ne récupérer que les php, puis les parser pour voir si il utilise des fonctions non autorisés, etc...)
Une autre technique qui fonctionne bien aussi côté mail, c'est limiter la liste des expéditeurs autorisés. (Côté serveur mail, c'est plus discret si quelqu'un qui regarde la conf de la machine)
Et si un mail qui n'est pas d'un expéditeur autorisé (pas "noreply@....." ou "newsletter@...." par exemple) le destinataire du mail est réécrit pour le pointer vers l'admin et le mail est relayé.
Ça remplie la boite mail rapidement en cas d'attaque mais au moins ça saute aux yeux :) (A n'utiliser que vers une boite locale, sinon y'a un risque de blacklist)
Mais effectivement, rien de plus efficace que de maintenir ses sites à jour !
Cordialement,
-
Frédéric VANNIÈRE -
Guillaume Genty -
Wallace