Salut la compagnie
En analysant les logs de ce matin, suite à une attaque en provenance de Chine, je tombe sur cette ligne :
> 42.49.180.65 www.ici_mon_site.com - [20/Aug/2018:07:36:42 +0200] "POST /ici_ma_page.php HTTP/1.1" 504 247 "https://www.ici_mon_site.com:443/ici_mon_dossier/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"
Manifestement une tentative d'intrusion par le port 443
Mon site est en mutualisé, offre pro.
- Les sites sur ces serveurs sont-ils à l'abri de ce genre d'attaque, ou faut-il prévoir des mesures particulières dans mon site ?
- J'ai blacklisté l'ip dans le htaccess. Est-ce utile de signaler l'attaque et l'IP à OVH ?
Il y a eu un paquet de tentatives d'injections de toutes sortes, heureusement déjouées.
Hébergements Web - Attaque par le port 443
Related questions
- Connexion à mon compte client
151533 
13.02.2019 09:51
- Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS
125543 03.09.2018 14:46
- reCAPTCHA erreur pour le propriétaire du site : clé de site non valide
109975 14.02.2019 16:17
- [FAQ] Comment mettre à jour mon site pour supporter Apache 2.4 ?
97319 28.07.2017 11:39
- Passage en php 7.4
96405 30.06.2020 05:05
- Augmenter taille PHP Post Max Size sur mutualisé ?
90570 04.12.2019 21:52
- The requested URL / was not found on this server
89891 02.03.2017 18:25
- Deploy d'un projet Node JS
89792 12.10.2016 20:18
- NextCloud sur mutualisé
89750 07.04.2017 08:42
- Ce site est inaccessible Impossible de trouver l'adresse DNS du serveur
89545 16.10.2016 16:24
je dirais que c'est là le fonctionnement _"normal"_ du web :(
443 est le port d'écoute des sites https
si tu veux tout blacklister manuellement, c'est que tu n'as pas vu encore une attaque sérieuse. de plus une ip n'est pas forcément à bannir (ip dynamique, ip partagée, ip infectée, c'est pas simple)
par contre suivre les mise à jour de ton cms et de tes scripts est nécessaire pour ne pas louper une mise à jour de sécurité
OK merci.
Bien entendu je ne me base pas là-dessus pour dire que c'est une attaque.
La ligne fait suite à un paquet de tentatives d'injections depuis la même ip.
Le CMS est maison.
Je fais attention au contenu des variables passées en URL.
Je ne lis que les variables que j'attends, je filtre leur contenu, et je ne les utilise pas dans mes requêtes SQL...