Ras le cul des scripts kindies ...

Discussion dans 'Demandes d'avis et de conseils sur vos sites' créé par raljx, 1 Octobre 2010.

  1. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    j'ai la haine oui la haine de perdre mon temps régulièrement avec une sorte d'attaque à 2 balles qui vient du soft http://www.itsecteam.com/en/projects/project1.htm

    p'tain y'a pas moyen de bloquer ca une fois pour toute ? parce que la, ca me prends grave la tete

    bien sur j'ai bloqué via php toutes ces sortes d'attaques (ca m'envoi un mail d'alerte en cas d'attaque)

    2 solutions :

    - soit j'arrette mes alertes parce que ca me prends la tete de choper 40 mails par sec d'attaque (et je fais comme si rien etait)
    - soit j'arrive a bloquer une bonne fois pour toute cette merde

    jsuis pas un spécialiste des scripts kindies (empechement) vous oui ???????
     
  2. forummp3
    forummp3 WRInaute passionné
    Inscrit:
    8 Février 2004
    Messages:
    1 508
    J'aime reçus:
    0
    ben au lieu d'envoyer un mail, tu fait un simple exit();
     
  3. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    mais ca me bouffe ma BP (style 200 mails d'alerte a la mn) donc oui pour l'exit(); mais y'a pas un moyen + radical ?
    J'ai un script qui balance en iptable plusieurs centaines de mails / mn mais je vais vite me retrouver avec un truc ingerable et volumineux ('puisqu'il passe par des proxys)
     
  4. ricosound
    ricosound WRInaute occasionnel
    Inscrit:
    25 Octobre 2009
    Messages:
    447
    J'aime reçus:
    0
    Bonjour.

    Pour bloquer cela tu peux peut-être essayer crawlprotect qui, si je ne m'abuse, doit être créé par quelqu'un qui vient ici sous le pseudo "jidébé"

    http://www.crawlprotect.com/fr/

    Je l'ai installé sur mon www, et ça rend bien service. :D

    Cordialement, Éric.
     
  5. fredfan
    fredfan WRInaute accro
    Inscrit:
    2 Juillet 2008
    Messages:
    2 850
    J'aime reçus:
    2
    Ce n'est peut-être pas indispensable de lui donner un lien depuis ce forum Raljx
     
  6. idefix
    idefix WRInaute discret
    Inscrit:
    17 Janvier 2007
    Messages:
    248
    J'aime reçus:
    0
    Désolé, je peux pas m'empêcher de le dire mais c'est script kiddies pas script kindies :?
    Ca fait combien de temps que tu as ces alertes? Car si le petit malin qui lance ce script ne trouve rien, il devrait passer son chemin.
    Sinon tu pourrais appliquer la même défense que contre les robots spammeurs : https://www.webrankinfo.com/forum/t/detection-robots-spam.86643/
     
  7. seebz
    seebz WRInaute impliqué
    Inscrit:
    15 Avril 2007
    Messages:
    722
    J'aime reçus:
    0
    Ca pourrait être intéressant de detecter/bloquer ce genre de tentative en amont (avant exécution du script php).
    Je m'y connais pas trop mais tu devrais peut-être regarder ce qui se fait au niveau de iptable, fail2ban ou encore du mod_evasive apache.
     
  8. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    J'ai deja geré ca en amont avec iptables...je vais voir avec le mod_evasive ...
    Merci de vos reponses ...
    dsl pour kiddies ;)
     
  9. tofm2
    tofm2 WRInaute passionné
    Inscrit:
    9 Avril 2005
    Messages:
    1 392
    J'aime reçus:
    0
    tu fais un whois sur l'ip attaquante, puis tu envoie un mail à [email protected]
    généralement, ça marche bien.
     
  10. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    a tous les proxys de la terre alors !! ;)
     
  11. tofm2
    tofm2 WRInaute passionné
    Inscrit:
    9 Avril 2005
    Messages:
    1 392
    J'aime reçus:
    0
    heu, tu as installé Crawltrack ou un truc du genre ?

    http://www.crawltrack.com

    C'est inefficace contre les gros méchants, mais pas mal contre les SK qui représentent 99,5% du bad traffic.

    @ricosound je n'ai jamai bien compris la différence entre crawltrack, que j'utilise, et crawlprotect..
     
  12. ricosound
    ricosound WRInaute occasionnel
    Inscrit:
    25 Octobre 2009
    Messages:
    447
    J'aime reçus:
    0
    Simple : crawlprotect c'est un outil du même auteur qui sert à filtrer les entrées en sculptant le htaccess via une série de règles de filtrage. Filtre les tentatives d'injection de code, les IP pas sympas, des robots aspirateurs de sites ...

    Crawltrack c'est un outil qui à pour but de te dire qui fréquente le site dans le détail, robots etc inclus.

    Ce n'est sans doute pas parfait (je manque de retour sur les erreurs ), mais très utile (et son auteur est très réactif). :D

    Cordialement, Éric.
     
  13. fobec
    fobec WRInaute discret
    Inscrit:
    10 Mai 2005
    Messages:
    186
    J'aime reçus:
    0
    bonjour,
    merci pour le lien, il est sympa cet outil :)

    En version Free, Havji n'offre pas la possibilité d'ajouter le refer dans l'entete.
    Donc y suffit de tester l'origine de la requete ($_SERVER['HTTP_REFERER']) et de rediriger les indésirables sur un 404, non ?
     
  14. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    et niveau charge serveur ca donne quoi ?
     
  15. fobec
    fobec WRInaute discret
    Inscrit:
    10 Mai 2005
    Messages:
    186
    J'aime reçus:
    0
    Tu penses à la charge serveur sur une redirect 404 ?

    Exemple
    /**
    * Rediriger les requetes hors formulaire vers une erreur 404
    */
    if (!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com')===false) {
    header("HTTP/1.1 404 ");
    header("Status: 404 Not Found", false, 404);
    echo '404';
    exit(0);
    }

    Inséré tout au début du script PHP, la charge serveur est quasi nulle. Pas de download (css, image, js), pas de requete mysql.
     
  16. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    Le pb c'est que j'ai pas le referer avec $_SERVER['HTTP_REFERER'] :\
    J'ai quelque fois l'agent (qui change a chaque coup) mais qui contient en bout de ligne "Havij" d'ou le lien vers le projet Havij v1.12 Advanced SQL Injection
     
  17. fobec
    fobec WRInaute discret
    Inscrit:
    10 Mai 2005
    Messages:
    186
    J'aime reçus:
    0
    Il a 2 conditions dans
    if (!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com')===false)
    qui redirige vers une erreur 404
    -> !isset($_SERVER['HTTP_REFERER']) = aucune donnée sur le refer
    -> stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com') = la requete ne provient pas du site xxx.com

    Si Havij ne fixe aucun referer, c'est parfait !
    tu le détectes dès la première condition.
     
  18. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 022
    J'aime reçus:
    0
    mais un risque de perdre de trafic en cas de bug de référer white non ? meme un faible pourcentage n'est pas négligeable ...
    Cependant merci de te pencher sur le cas ...
    Au fait ! moins de doublons sur les logs raljx ?? ;) ;)
     
  19. fobec
    fobec WRInaute discret
    Inscrit:
    10 Mai 2005
    Messages:
    186
    J'aime reçus:
    0
    Ajoute un stripos sur HTTP_USER_AGENT en cherchant Havij pour être sur.
    hehe, fini les doublons, c'est nickel !
    En phase de test sur la notation des IP avec un p'tit algo. Si ça t'intéresse, d'ici quelques jours, tu pourras envoyer quelques milliers d'IP pour tester la bête :)
     
  20. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    pourquoi ne pas bloquer directement dans le htaccess ?
     
Chargement...
Similar Threads - Ras cul scripts Forum Date
Avis sur mon dernier délire :) Site de phrases cultes Demandes d'avis et de conseils sur vos sites 27 Mai 2009
OVH jusqu'en mars, Strasbourg après ? Administration d'un site Web 24 Septembre 2022
Matomo fréquentation chute drastique. Administration d'un site Web 17 Février 2022
Le journal abrasif à 2 ans Demandes d'avis et de conseils sur vos sites 13 Novembre 2021
Demande d'avis - Petites phrases Présidentielle 2022 Demandes d'avis et de conseils sur vos sites 24 Octobre 2021
Le journal abrasif SEO Problèmes de référencement spécifiques à vos sites 18 Octobre 2020
Le journal abrasif design Demandes d'avis et de conseils sur vos sites 18 Octobre 2020
Probléme de texte gras, code HTML Demandes d'avis et de conseils sur vos sites 5 Octobre 2020
Avis Journal Abrasif Demandes d'avis et de conseils sur vos sites 24 Mai 2020
Chargement des pages, ton site tu optimiseras Référencement Google 27 Décembre 2019
Firefox nous débarrasse des Notifications Web Développement d'un site Web ou d'une appli mobile 4 Novembre 2019
(HELP) Journal abrasif et social de Lionel Belarbi Demandes d'avis et de conseils sur vos sites 18 Octobre 2019
Mots en gras dans l'introduction d'un article Débuter en référencement 8 Août 2019
Problème d'indexation, Sitemaps non lus et baisse drastique du référencement/trafic Débuter en référencement 22 Mars 2019
WordPress L' énigme de la police "thin" de la H2 qui reste en gras Développement d'un site Web ou d'une appli mobile 8 Février 2019
Quand faut-il baisser les bras ? Problèmes de référencement spécifiques à vos sites 17 Janvier 2019
Astuce Voici comment avoir son titre en gras dans Google Référencement Google 7 Janvier 2019
Fichier ADS TXT dans les logs en 404, comment s'en débarrasser ? Monétisation d'un site web 1 Octobre 2018
demande d avis sur mon site de debarras Demandes d'avis et de conseils sur vos sites 28 Octobre 2017
Chute drastique du nombre d'inscriptions sur plusieurs groupes fermés. Facebook 17 Octobre 2017