Ras le cul des scripts kindies ...

raljx · 1 Octobre 2010

j'ai la haine oui la haine de perdre mon temps régulièrement avec une sorte d'attaque à 2 balles qui vient du soft http://www.itsecteam.com/en/projects/project1.htm

p'tain y'a pas moyen de bloquer ca une fois pour toute ? parce que la, ca me prends grave la tete

bien sur j'ai bloqué via php toutes ces sortes d'attaques (ca m'envoi un mail d'alerte en cas d'attaque)

2 solutions :

- soit j'arrette mes alertes parce que ca me prends la tete de choper 40 mails par sec d'attaque (et je fais comme si rien etait)
- soit j'arrive a bloquer une bonne fois pour toute cette merde

jsuis pas un spécialiste des scripts kindies (empechement) vous oui ???????

forummp3 · 2 Octobre 2010

ben au lieu d'envoyer un mail, tu fait un simple exit();

raljx · 2 Octobre 2010

mais ca me bouffe ma BP (style 200 mails d'alerte a la mn) donc oui pour l'exit(); mais y'a pas un moyen + radical ?
J'ai un script qui balance en iptable plusieurs centaines de mails / mn mais je vais vite me retrouver avec un truc ingerable et volumineux ('puisqu'il passe par des proxys)

ricosound · 2 Octobre 2010

Bonjour.

Pour bloquer cela tu peux peut-être essayer crawlprotect qui, si je ne m'abuse, doit être créé par quelqu'un qui vient ici sous le pseudo "jidébé"

http://www.crawlprotect.com/fr/

Je l'ai installé sur mon www, et ça rend bien service.

Cordialement, Éric.

fredfan · 2 Octobre 2010

Ce n'est peut-être pas indispensable de lui donner un lien depuis ce forum Raljx

idefix · 2 Octobre 2010

Désolé, je peux pas m'empêcher de le dire mais c'est script kiddies pas script kindies :?
Ca fait combien de temps que tu as ces alertes? Car si le petit malin qui lance ce script ne trouve rien, il devrait passer son chemin.
Sinon tu pourrais appliquer la même défense que contre les robots spammeurs : https://www.webrankinfo.com/forum/t/detection-robots-spam.86643/

seebz · 2 Octobre 2010

Ca pourrait être intéressant de detecter/bloquer ce genre de tentative en amont (avant exécution du script php).
Je m'y connais pas trop mais tu devrais peut-être regarder ce qui se fait au niveau de iptable, fail2ban ou encore du mod_evasive apache.

raljx · 2 Octobre 2010

J'ai deja geré ca en amont avec iptables...je vais voir avec le mod_evasive ...
Merci de vos reponses ...
dsl pour kiddies

tofm2 · 2 Octobre 2010

tu fais un whois sur l'ip attaquante, puis tu envoie un mail à abuse@tagadapouet.com
généralement, ça marche bien.

raljx · 3 Octobre 2010

a tous les proxys de la terre alors !!

tofm2 · 3 Octobre 2010

heu, tu as installé Crawltrack ou un truc du genre ?

http://www.crawltrack.com

C'est inefficace contre les gros méchants, mais pas mal contre les SK qui représentent 99,5% du bad traffic.

@ricosound je n'ai jamai bien compris la différence entre crawltrack, que j'utilise, et crawlprotect..

ricosound · 3 Octobre 2010

tofm2 a dit:
heu, tu as installé Crawltrack ou un truc du genre ?

http://www.crawltrack.com

C'est inefficace contre les gros méchants, mais pas mal contre les SK qui représentent 99,5% du bad traffic.

@ricosound je n'ai jamais bien compris la différence entre crawltrack, que j'utilise, et crawlprotect..

Simple : crawlprotect c'est un outil du même auteur qui sert à filtrer les entrées en sculptant le htaccess via une série de règles de filtrage. Filtre les tentatives d'injection de code, les IP pas sympas, des robots aspirateurs de sites ...

Crawltrack c'est un outil qui à pour but de te dire qui fréquente le site dans le détail, robots etc inclus.

Ce n'est sans doute pas parfait (je manque de retour sur les erreurs ), mais très utile (et son auteur est très réactif).

Cordialement, Éric.

fobec · 4 Octobre 2010

bonjour,
merci pour le lien, il est sympa cet outil

En version Free, Havji n'offre pas la possibilité d'ajouter le refer dans l'entete.
Donc y suffit de tester l'origine de la requete ($_SERVER['HTTP_REFERER']) et de rediriger les indésirables sur un 404, non ?

raljx · 4 Octobre 2010

et niveau charge serveur ca donne quoi ?

fobec · 4 Octobre 2010

Tu penses à la charge serveur sur une redirect 404 ?

Exemple
/**
* Rediriger les requetes hors formulaire vers une erreur 404
*/
if (!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com')===false) {
header("HTTP/1.1 404 ");
header("Status: 404 Not Found", false, 404);
echo '404';
exit(0);
}

Inséré tout au début du script PHP, la charge serveur est quasi nulle. Pas de download (css, image, js), pas de requete mysql.

raljx · 4 Octobre 2010

Le pb c'est que j'ai pas le referer avec $_SERVER['HTTP_REFERER'] :\
J'ai quelque fois l'agent (qui change a chaque coup) mais qui contient en bout de ligne "Havij" d'ou le lien vers le projet Havij v1.12 Advanced SQL Injection

fobec · 4 Octobre 2010

Il a 2 conditions dans
if (!isset($_SERVER['HTTP_REFERER']) || stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com')===false)
qui redirige vers une erreur 404
-> !isset($_SERVER['HTTP_REFERER']) = aucune donnée sur le refer
-> stripos($_SERVER['HTTP_REFERER'], 'http://www.xxx.com') = la requete ne provient pas du site xxx.com

Si Havij ne fixe aucun referer, c'est parfait !
tu le détectes dès la première condition.

raljx · 4 Octobre 2010

mais un risque de perdre de trafic en cas de bug de référer white non ? meme un faible pourcentage n'est pas négligeable ...
Cependant merci de te pencher sur le cas ...
Au fait ! moins de doublons sur les logs raljx ??

fobec · 5 Octobre 2010

Ajoute un stripos sur HTTP_USER_AGENT en cherchant Havij pour être sur.
hehe, fini les doublons, c'est nickel !
En phase de test sur la notation des IP avec un p'tit algo. Si ça t'intéresse, d'ici quelques jours, tu pourras envoyer quelques milliers d'IP pour tester la bête

Leonick · 1 Novembre 2010

pourquoi ne pas bloquer directement dans le htaccess ?