Ras le cul des scripts kindies ...

  • Auteur de la discussion Auteur de la discussion raljx
  • Date de début Date de début
WRInaute passionné
j'ai la haine oui la haine de perdre mon temps régulièrement avec une sorte d'attaque à 2 balles qui vient du soft http://www.itsecteam.com/en/projects/project1.htm

p'tain y'a pas moyen de bloquer ca une fois pour toute ? parce que la, ca me prends grave la tete

bien sur j'ai bloqué via php toutes ces sortes d'attaques (ca m'envoi un mail d'alerte en cas d'attaque)

2 solutions :

- soit j'arrette mes alertes parce que ca me prends la tete de choper 40 mails par sec d'attaque (et je fais comme si rien etait)
- soit j'arrive a bloquer une bonne fois pour toute cette merde

jsuis pas un spécialiste des scripts kindies (empechement) vous oui ???????
 
WRInaute passionné
mais ca me bouffe ma BP (style 200 mails d'alerte a la mn) donc oui pour l'exit(); mais y'a pas un moyen + radical ?
J'ai un script qui balance en iptable plusieurs centaines de mails / mn mais je vais vite me retrouver avec un truc ingerable et volumineux ('puisqu'il passe par des proxys)
 
WRInaute occasionnel
Bonjour.

Pour bloquer cela tu peux peut-être essayer crawlprotect qui, si je ne m'abuse, doit être créé par quelqu'un qui vient ici sous le pseudo "jidébé"

http://www.crawlprotect.com/fr/

Je l'ai installé sur mon www, et ça rend bien service. :D

Cordialement, Éric.
 
WRInaute impliqué
Ca pourrait être intéressant de detecter/bloquer ce genre de tentative en amont (avant exécution du script php).
Je m'y connais pas trop mais tu devrais peut-être regarder ce qui se fait au niveau de iptable, fail2ban ou encore du mod_evasive apache.
 
WRInaute passionné
J'ai deja geré ca en amont avec iptables...je vais voir avec le mod_evasive ...
Merci de vos reponses ...
dsl pour kiddies ;)
 
WRInaute passionné
heu, tu as installé Crawltrack ou un truc du genre ?

http://www.crawltrack.com

C'est inefficace contre les gros méchants, mais pas mal contre les SK qui représentent 99,5% du bad traffic.

@ricosound je n'ai jamai bien compris la différence entre crawltrack, que j'utilise, et crawlprotect..
 
WRInaute occasionnel
tofm2 a dit:
heu, tu as installé Crawltrack ou un truc du genre ?

http://www.crawltrack.com

C'est inefficace contre les gros méchants, mais pas mal contre les SK qui représentent 99,5% du bad traffic.

@ricosound je n'ai jamais bien compris la différence entre crawltrack, que j'utilise, et crawlprotect..

Simple : crawlprotect c'est un outil du même auteur qui sert à filtrer les entrées en sculptant le htaccess via une série de règles de filtrage. Filtre les tentatives d'injection de code, les IP pas sympas, des robots aspirateurs de sites ...

Crawltrack c'est un outil qui à pour but de te dire qui fréquente le site dans le détail, robots etc inclus.

Ce n'est sans doute pas parfait (je manque de retour sur les erreurs ), mais très utile (et son auteur est très réactif). :D

Cordialement, Éric.
 
WRInaute discret
bonjour,
merci pour le lien, il est sympa cet outil :)

En version Free, Havji n'offre pas la possibilité d'ajouter le refer dans l'entete.
Donc y suffit de tester l'origine de la requete ($_SERVER['HTTP_REFERER']) et de rediriger les indésirables sur un 404, non ?
 
WRInaute discret
Tu penses à la charge serveur sur une redirect 404 ?

Exemple
/**
* Rediriger les requetes hors formulaire vers une erreur 404
*/
if (!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com')===false) {
header("HTTP/1.1 404 ");
header("Status: 404 Not Found", false, 404);
echo '404';
exit(0);
}

Inséré tout au début du script PHP, la charge serveur est quasi nulle. Pas de download (css, image, js), pas de requete mysql.
 
WRInaute discret
Il a 2 conditions dans
if (!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com')===false)
qui redirige vers une erreur 404
-> !isset($_SERVER['HTTP_REFERER']) = aucune donnée sur le refer
-> stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com') = la requete ne provient pas du site xxx.com

Si Havij ne fixe aucun referer, c'est parfait !
tu le détectes dès la première condition.
 
WRInaute passionné
mais un risque de perdre de trafic en cas de bug de référer white non ? meme un faible pourcentage n'est pas négligeable ...
Cependant merci de te pencher sur le cas ...
Au fait ! moins de doublons sur les logs raljx ?? ;) ;)
 
WRInaute discret
Ajoute un stripos sur HTTP_USER_AGENT en cherchant Havij pour être sur.
hehe, fini les doublons, c'est nickel !
En phase de test sur la notation des IP avec un p'tit algo. Si ça t'intéresse, d'ici quelques jours, tu pourras envoyer quelques milliers d'IP pour tester la bête :)
 
Discussions similaires
Haut