[résolu - humhum] Hack -> Bad Behavior...

[indeepdark]

En validant un formulaire sur un de mes site, je me retrouve avec une erreur 403 avec un lien vers cette page : -http://www.ioerror.us/bb2-support-key?key=84cc-df5d-1366-73cd

Error 403

We're sorry, but we could not fulfill your request for ... on this server.

Your Internet Protocol address is listed on a blacklist of addresses involved in malicious or illegal activity. See the listing below for more details on specific blacklists and removal procedures.

Your technical support key is: 84cc-df5d-1366-73cd

You can use this key to fix this problem yourself.

If you are unable to fix the problem yourself, please contact nom-nospam at no-spam.domain.tld and be sure to provide the technical support key shown above.

En faisant un whois :

Domain Name: IOERROR.US
Domain ID: D6359239-US
Sponsoring Registrar: GODADDY.COM, INC.
Sponsoring Registrar IANA ID: 146
Domain Status: clientDeleteProhibited
Domain Status: clientRenewProhibited
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Registrant ID: GODA-036391467
Registrant Name: Michael Hampton
Registrant Organization: Unknown
Registrant Address1: 308 E Burlington St
Registrant Address2: PMB 250
Registrant City: Iowa City
Registrant State/Province: IA
Registrant Postal Code: 52240-1602
Registrant Country: United States
Registrant Country Code: US
Registrant Phone Number: +1.3193519005
Registrant Email: error10@gmail.com
Registrant Application Purpose: P3
Registrant Nexus Category: C11
Administrative Contact ID: GODA-236391467
Administrative Contact Name: Michael Hampton
Administrative Contact Organization: Unknown
Administrative Contact Address1: 308 E Burlington St
Administrative Contact Address2: PMB 250
Administrative Contact City: Iowa City
Administrative Contact State/Province: IA
Administrative Contact Postal Code: 52240-1602
Administrative Contact Country: United States
Administrative Contact Country Code: US
Administrative Contact Phone Number: +1.3193519005
Administrative Contact Email: error10@gmail.com
Administrative Application Purpose: P3
Administrative Nexus Category: C11
Billing Contact ID: GODA-336391467
Billing Contact Name: Michael Hampton
Billing Contact Organization: Unknown
Billing Contact Address1: 308 E Burlington St
Billing Contact Address2: PMB 250
Billing Contact City: Iowa City
Billing Contact State/Province: IA
Billing Contact Postal Code: 52240-1602
Billing Contact Country: United States
Billing Contact Country Code: US
Billing Contact Phone Number: +1.3193519005
Billing Contact Email: error10@gmail.com
Billing Application Purpose: P3
Billing Nexus Category: C11
Technical Contact ID: GODA-136391467
Technical Contact Name: Michael Hampton
Technical Contact Organization: Unknown
Technical Contact Address1: 308 E Burlington St
Technical Contact Address2: PMB 250
Technical Contact City: Iowa City
Technical Contact State/Province: IA
Technical Contact Postal Code: 52240-1602
Technical Contact Country: United States
Technical Contact Country Code: US
Technical Contact Phone Number: +1.3193519005
Technical Contact Email: error10@gmail.com
Technical Application Purpose: P3
Technical Nexus Category: C11
Name Server: NS0.IOERROR.US
Name Server: NS2.IOERROR.US
Created by Registrar: DOTSTER
Last Updated by Registrar: GODADDY.COM, INC.
Last Transferred Date: Mon Aug 20 18:52:39 GMT 2007
Domain Registration Date: Sat Jul 03 01:05:14 GMT 2004
Domain Expiration Date: Sat Jul 02 23:59:59 GMT 2011
Domain Last Updated Date: Wed Dec 05 18:51:00 GMT 2007

C'est quoi cette merde ?

Je fais une analyse anti-virus sur mon pc, en attendant si vous avez des pistes, je suis preneur.

 

[keroin]

En effet ça sent mauvais, tu as vérifier le script si il avait subi des modifications ?

 

[indeepdark]

Oui, aucun problème de ce coté là.

J'ai contacté AdSense pour la page qui propose le téléchargement de Google Pack et protéger mon compte au cas où...

La dernière modification sur le serveur concerne l'installation de visohotlink, et je ne pense pas que cela vienne de là -- du moins j'espère...

Visiblement mon antivirus / firewall s'est planté en mon absence, je fait donc une analyse complète. Une autre possibilité me semble être le remplacement de mes pages d'erreurs dans le navigateur.

Les logs me semblent normal aussi, mais je ne suis pas un expert de ce coté là...

 

[Misix]

Sa sens le Hack effectivement.

Si tu a encore accès a la BDD save la (si ce n'est pas déja fait), recréer le ftp avec un nouveau login/pass (plus sécuriser) et relance le site.

Ensuite sur le site vérifie qu'il n'y est pas de faille.

 

[indeepdark]

Sa sens le Hack effectivement.

Si tu a encore accès a la BDD save la (si ce n'est pas déja fait), recréer le ftp avec un nouveau login/pass (plus sécuriser) et relance le site.

Ensuite sur le site vérifie qu'il n'y est pas de faille.

BDD sauvée.

Par recréer le ftp, tu veux dire restaurer une ancienne version et changez de login mot de pass ?

Le login/mot de passe, c'est ok, mais pour la restauration il faut que je vois ça avec mon hébergeur...

 

[padawan2]

hmmm.... il semblerait que ce soit un module pour Drupal qui cause ça.


Ne l'aurais tu pas installé par hasard, ça sert à détecter les spam bots qui postent des commentaires... Pour le lien vers GG pack, le gars qui l'a développé a surement voulu se faire un peu de sous avec son travail...

 

[indeepdark]

C'est la 3ème option que je suis en train de vérifier... Le module dont tu parles, ça ne serais pas bad behaviour ? Je suis en train de vérifier ça, et la piste semble sérieuse.

 

[padawan2]

Il suffisait d'approfondir un peu la chose...

Je sais que c'est assez dur mais il faudrait que tu essaies de toujours vérifier ce que tu installes, surtout si tu as un dédié.
C'est souvent comme ça que l'on fait entrer le loup dans la bergerie !

 

[indeepdark]

c'est un mutu.

Je me sens boulay sur le coup. Mais bon, à ma décharge, le message d'erreur 403 est vraiment bizarre et ne mentionne pas bad behaviour, pas plus que l'url de destination. Ça fait 4 mois qu'il est installé et j'ai jamais eu ce problème jusqu'à présent. C'est toujours pas réglé, mais au moins je sais d'où ça vient maintenant !

PS : J'ai envoyé un message d'explication à Google...

 

[indeepdark]

Bon, le problème est résolu : un des fournisseurs d'adresses blacklistées fournit des réponses erronées aux requêtes du script, aboutissant au ban de toutes les adresse ip.

Pour ceux qui utilise Bad Behavior, une mise à jour est disponible ici : http://www.bad-behavior.ioerror.us/2007 ... vior-2011/