Se prémunir des attaques de type union select (...)

Discussion dans 'Administration d'un site Web' créé par raljx, 6 Juillet 2010.

  1. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    Bonjour

    Un de mes sites se fait constamment bombarder par des attaques de type
    Code:
    ... union+select+concat(0x5b68345d,0,0x5b2f68345d),concat(0x5b68345d,1,0x5b2f68345d),concat(0x5b68345d,2,0x5b2f68345d),concat(0x5b68345d,3,0x5b2f68345d),concat(0x5b68345d,4,0x5b2f68345d)...
    Alors bien sur ces attaques sont parées tel un Général Ishtar de level 6 mais elles continue de plus belles tous les jours avec bien entendu des IPs différentes a chaque coup.

    Avis des spécialistes la-dessus histoire de m'en débarrasser ?
     
  2. rudddy
    rudddy WRInaute passionné
    Inscrit:
    1 Août 2007
    Messages:
    2 142
    J'aime reçus:
    0
    place à julia le spécialiste des dédiés.
     
  3. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 779
    J'aime reçus:
    0
    C'est des scans un peu méchant, surtout que ça m'a l'air un peu ciblé (à moins que ça soit sous un CMS).

    Pas trop d'idées sur comment bloquer, ça reste des scans.
    Si tu es sur un serveur dédié, tu pourrais utiliser fail2ban avec le jail apache-noscript.conf (à configurer plutôt correctement).
    Si tu es sous dedié, tu peux aussi bannir 2/3 pays :p
     
  4. finstreet
    finstreet WRInaute accro
    Inscrit:
    10 Juillet 2005
    Messages:
    13 473
    J'aime reçus:
    2
    J'y ai pensé aussi mais vu la zone à couvrir, il en faudrait plusieurs :)

    Bon sinon tu as la possibilité de détecter certains mots dans l'url et de rediriger quand ils sont détecter. C'est tout bête mais ca peut marcher.
     
  5. Haroeris
    Haroeris WRInaute impliqué
    Inscrit:
    13 Avril 2010
    Messages:
    653
    J'aime reçus:
    0
    edit : bouh rudddy à édité , ca enleve un peut du sens à la surenchère ;)

    [​IMG]
     
  6. finstreet
    finstreet WRInaute accro
    Inscrit:
    10 Juillet 2005
    Messages:
    13 473
    J'aime reçus:
    2
    [​IMG]

    Plus radical
     
  7. finstreet
    finstreet WRInaute accro
    Inscrit:
    10 Juillet 2005
    Messages:
    13 473
    J'aime reçus:
    2
    Oui mais dans l'absolu, si tu traites le paramètre avant de le balancer dans la base, ca risque quoi ?
     
  8. nwa
    nwa WRInaute discret
    Inscrit:
    7 Juin 2010
    Messages:
    57
    J'aime reçus:
    0
    bonjour,

    malwarebytes antimalware en version payante est super ! les IP malveillantes sont bloquées en temps réel. La nouvelle version de symantec (la 2011 en beta) est vraiment top avec le SONAR. Avec ces deux logiciels aucune attaque. Et symantec je le teste régulièrement sur un site qui répertorie les virus les plus frais.

    Bonne protection à vous.
     
  9. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    Actuellement je redirige vers une page spécifique qui créée un fichier txt utilisé par iptables ... mais franchement c'est lourd ... pi des fois c'est des ip francaises :\
     
  10. cedric_g
    cedric_g WRInaute accro
    Inscrit:
    18 Janvier 2006
    Messages:
    2 958
    J'aime reçus:
    0
    Je vais dire une connerie : si dans tes URLs tu es certain de ne jamais avoir d'expressions comme "union", "select", "concat", ou plus généralement "0x???" tu ne peux pas filtrer à la base ?
     
  11. agenceinternet
    agenceinternet WRInaute passionné
    Inscrit:
    28 Mars 2008
    Messages:
    1 135
    J'aime reçus:
    0
  12. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 779
    J'aime reçus:
    0
    Les trucs de "crawl protect" ou équivalent ralentissent énormément le site.

    Perso pour les 404 ça donne ça :
    Code:
    cat *.log| grep " 404 " | wc -l
    6281
    pour "depuis ce matin 6h" pour pas mal de "petit" site (style mon site pro)
    pour un client qui n'a qu'un seul gros site :
    Code:
    cat pwet.com.access.log|grep " 404 " |wc -l
    12614
    Perso je m'en inquiète pas.

    Sinon si ça t'inquiète vraiment, tu mets un bon petit error_log sur certaines requêtes méchantes ou sur des pages fantômes (perso je faisais souvent ça sur un faux /phpmyadmin/ à la fin) qui faisait un error_log('IP...');).
    et après un petit jail fail2ban

    @Ruddy je sais pas ce que tu as dit :p

    Edit:
    @raljx: tu nous as pas dit si t'es sous un CMS ou non. Sinon quand des POF sortent ça arrive de se faire bien scanner pendant quelques temps tant que la faille est "à la mode".
     
  13. finstreet
    finstreet WRInaute accro
    Inscrit:
    10 Juillet 2005
    Messages:
    13 473
    J'aime reçus:
    2
    Ben c un peu ce que je pense aussi...
     
  14. raljx
    raljx WRInaute passionné
    Inscrit:
    10 Juillet 2006
    Messages:
    2 064
    J'aime reçus:
    0
    non non codé main ...
    je bloque déjà en utlisant isset() sur mes variables et en checkant l'URL ...
    Quant à la remarque de cedric_g, j'ai en effet des expressions contenant les mots union, select ... mais je filtre deja pas mal a la base ... le truc qui m'emmerde, c'est mes perfs qui en prennent un coup lors d'une attaque (environ 4 / 5 par jour)

    je pensais utiliser
    Code:
    iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name BLACKLIST --set
    iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name BLACKLIST --update --seconds 10 --hitcount 30 --rttl -j DROP
    mais j'ai peur de catcher des visiteurs dans le lot
     
  15. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 417
    J'aime reçus:
    0
    il te parlait d'url. Si dans tes url tu n'as pas ces mots là, tu peux déjà bloquer, ne serait-ce que pas htaccess
     
  16. seebz
    seebz WRInaute impliqué
    Inscrit:
    15 Avril 2007
    Messages:
    728
    J'aime reçus:
    0
    C'est ce que j'aurai aussi recommandé.

    J'imagine que non, mais peut-on avoir l'url (par MP) ?
     
Chargement...
Similar Threads - prémunir attaques type Forum Date
Attaque de negative seo, comment vérifier et s'en prémunir ? Quels recours légaux ? Débuter en référencement 23 Septembre 2015
Se prémunir des arnaques paypal du aux bien immateriels Administration d'un site Web 24 Janvier 2013
"Attaques" de mon site (négatif SEO) Problèmes de référencement spécifiques à vos sites 16 Février 2018
Mes sites sont attaqués ! Google Analytics 7 Décembre 2016
Que faire contre les attaques seo Demandes d'avis et de conseils sur vos sites 13 Juillet 2016
Lutte contre les attaques en cross scripting Google Analytics 17 Septembre 2015
Attaques SEO Negative, que faire AVANT que ça arrive? Débuter en référencement 4 Juillet 2014
Apache optimisation et sécurisation (attaques DoS) Administration d'un site Web 4 Mai 2011
Des attaques sur mon serveur Administration d'un site Web 8 Juin 2010
Sécuriser/protéger un site contre d'éventuelles attaques Développement d'un site Web ou d'une appli mobile 12 Mars 2010
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice