Attack table pre__connections et pre_guest en BD

[RemyNoSoucy]

Bonjour,

Depuis quelques semaines, j'ai des attack venant de Chine et US qui remplissent les tables pre_connection et pre_guest.

J'ai pourtant : 

- la Géolocalisation installée avec les dernières mise à jour de GeoLite2-Country et GeoLite2-City.

- mise en place dans le htaccess les "order allow,deny" / deny from xxx.xxx.xxx.xxx

order allow,deny

deny from 98.200
deny from 48.209
allow from all

Et pourtant, les IP filtrées alimentent la BD sur pre_connections et pre_guest.

NOTA : si je met un "deny from all" -> plus d'enregistrement dans la table pre_connections / guest. J'ai aussi testé avec pon IP et le htaccess me bloque bien.

Dernier point, qui sait ou comment retrouver la page " id_page" (les IP vont toujours vers la id_page = 289 )

Je coince !!!!

 

Exemple du fichier pre_connection :

id_connections Décroissant 1     id_shop_group     id_shop     id_guest     id_page     ip_address     date_add     http_referer     Textes complets
53     1     1     47     289     -819065516     2021-09-27 13:50:19         Supprimer Supprimer     Copier Copier     Éditer Éditer     
52     1     1     46     289     -819065516     2021-09-27 13:50:18         Supprimer Supprimer     Copier Copier     Éditer Éditer     
51     1     1     45     289     -819065516     2021-09-27 13:50:18         Supprimer Supprimer     Copier Copier     Éditer Éditer     
50     1     1     44     289     -819065516     2021-09-27 13:50:17         Supprimer Supprimer     Copier Copier     Éditer Éditer     
49     1     1     43     289     -819065516     2021-09-27 13:50:16         Supprimer Supprimer     Copier Copier     Éditer Éditer     
48     1     1     42     289     -819065516     2021-09-27 13:50:15         Supprimer Supprimer     Copier Copier     Éditer Éditer     
47     1     1     41     289     -1657329839     2021-09-27 13:50:14         Supprimer Supprimer     Copier Copier     Éditer Éditer     
46     1     1     40     289     -1657329839     2021-09-27 13:50:13         Supprimer Supprimer     Copier Copier     Éditer Éditer     
45     1     1     39     289     -1657329839     2021-09-27 13:50:12         Supprimer Supprimer     Copier Copier     Éditer Éditer     
44     1     1     38     289     -1657329839     2021-09-27 13:50:11         Supprimer Supprimer     Copier Copier     Éditer Éditer     
43     1     1     37     289     -819065478     2021-09-27 13:50:08         Supprimer Supprimer     Copier Copier     Éditer Éditer     
42     1     1     35     289     -819065478     2021-09-27 13:50:07         Supprimer Supprimer     Copier Copier     Éditer Éditer     
41     1     1     34     289     -819065478     2021-09-27 13:50:06         Supprimer Supprimer     Copier Copier     Éditer Éditer     

[magicbel]

Vous ne pouvez pas filtrer en amont ? (sur le srv directement)

[RemyNoSoucy]

c'est ce que je fais avec le .htaccess : 

 

order allow,deny

deny from 48.0.0.0/48.255.255.255
deny from 98.200.216.0/98.200.216.255
deny from 98.200
deny from 48.209

 

etc ....

J'en perd mon latin !!!

Edited September 27, 2021 by REMI GUILLEMOT (see edit history)

[hshaker]

Essaye de changer les configuration du serveur

tu peux limiter les accès à data bases depuis ton serveur (DE accès depuis n'import hot à accès local)

le user qui est défini pour cette base ne peut pas accéder que depuis le serveur ou il hébergé

[Mediacom87]

Il y a 7 heures, hshaker a dit :

Essaye de changer les configuration du serveur

tu peux limiter les accès à data bases depuis ton serveur (DE accès depuis n'import hot à accès local)

le user qui est défini pour cette base ne peut pas accéder que depuis le serveur ou il hébergé

Bonjour,

Vous pensez réellement que la base de données fut piraté par un gars de l'extérieure, juste pour mettre des données cohérentes dans 2 tables ?

[RemyNoSoucy]

15 minutes ago, Mediacom87 said:

Bonjour,

Vous pensez réellement que la base de données fut piraté par un gars de l'extérieure, juste pour mettre des données cohérentes dans 2 tables ?

Bonjour,

Non, je ne pense pas qu'il y ai un accès direct sur la table ps_connections / ps_guest ; c'est un accès standard via le front.

Et quand je mets dans un .htaccess, un "deny from all", il n'y a plus d'enregitrement sur ces tables. Donc ce n'est pas directement sur la BD.

[Mediacom87]

il y a une heure, RemyNoSoucy a dit :

Bonjour,

Non, je ne pense pas qu'il y ai un accès direct sur la table ps_connections / ps_guest ; c'est un accès standard via le front.

Et quand je mets dans un .htaccess, un "deny from all", il n'y a plus d'enregitrement sur ces tables. Donc ce n'est pas directement sur la BD.

Cela me semble évident en lisant vos propos c'ets justement l'avis de l'auteur de ce post qui m'intéressait pour comprendre comment il a pu en arriver à proposer cette solution.

[hshaker]

Il y a 13 heures, Mediacom87 a dit :

Bonjour,

Vous pensez réellement que la base de données fut piraté par un gars de l'extérieure, juste pour mettre des données cohérentes dans 2 tables ?

Je pense que il y juste des requêtes qui viennent de l'extérieur de ton serveur. 

Ça peut être une line de scripts, une boucle qui vient d'un module qui a l'autorisation INSERT

- penser à chercher les données(insérer automatiquement) dans tout vos fichiers de votre shop

- essayer de trouver la requêtes INSERT qui envoie ces données à votre dates bases 

Très probablement un module