TRUC DE FOU ! GoogleBot bannit mes utilisateurs

WRInaute passionné
Salut a tous,

Un post pour un truc de fou qui m'arrive depuis 1 semaine

J'ai dans mon administration une fonction qui me permet de bannir des utilisateurs indélicats (et dieu sait qu'il y en a)
Depuis environ 1 semaine, certains utilisateurs nous contactent sur notre support pour râler (et ils ont raison) car nous les avons bannis 8O

Je me retourne vers ma modo elle me dit non, je n'ai pas banni cette personne ...

Je cherche, je cherche... jusqu'à l'idée de créer un champ supplémentaire dans ma table des bannis contenant un REQUEST_URI et un REMOTE_ADDR pour essayer de choper le rigolo qui aurait pu avoir les access a mon admin

Bingo ... 10mn après une nouvelle entrée dans la table avec cette IP : 66.249.71.55 --> crawl-66-249-71-55.googlebot.com 8O 8O 8O

C'est fou ca ... comment il peut exécuter un fichier (suis en $_GET par contre) , le remplir avec un email valide, enfin qui m'appartient, et bannir mon utilisateur ????????????????

La je suis preneur d'infos, sachant qu'en recherchant sur GG je n'ai pas de trace de ce fichier en indexation, ni meme du sous-domaine que j'utilise pour me connecter a mon admin. Ce qui est curieux egalement c'est qu'il contourne mon système de sessions (actuellement les sessions sont enregistrées dans une base mysql a part via un script php)
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

ca c'est énorme...

bientot google fera notre boulo et ferra office de modérateur sur les forum :lol:
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Tu n'affiche pas les mails sur ton site ?

Parce qu'en GET, ggbot test tout un tas de mots clés qu'il y a sur ton site. Après comment il contourne tes sessions, là, je vois pas... Tu a surement un accès non protégé quelque part qu'il pourrait connaitre grâce à la toolbar installée sur le poste de tes modos (moi je chercherais de ce côté)

Ca avait déjà été relevé sur le forum et dans l'actu WRI, mais voici encore une preuve que google test les formulaires en get : https://www.webrankinfo.com/forum/googlebot-fait-pleins-recherche-dans-mon- ... 07811.html
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Là c'est quand même fort !
J'espère que tu vas vite trouver comme il fait.

Par contre en attendant tu peux peut-être tester si c'est google le virer (sur ce formulaire) ?
Ou n'autoriser que ton ip et celle de ta modo.

C'est quand même hallucinant là ...
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

blman a dit:
Tu n'affiche pas les mails sur ton site ?

Parce qu'en GET, ggbot test tout un tas de mots clés qu'il y a sur ton site. Après comment il contourne tes sessions, là, je vois pas... Tu a surement un accès non protégé quelque part qu'il pourrait connaitre grâce à la toolbar installée sur le poste de tes modos (moi je chercherais de ce côté)

Ca avait déjà été relevé sur le forum et dans l'actu WRI, mais voici encore une preuve que google test les formulaires en get

+1 avec blman. Je pensais exactement à ca : une partie non (ou mal) sécurisée de ton admin couplée avec un formulaire en $_GET.
 
Nouveau WRInaute
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

En tout cas, si un bot arrive à exploiter cela, inquiète toi, imagine si un utilisateur mal intentionné s'amuse à faire la même chose :wink:

Merci Google Bot pour dénicher les failles :lol:

As-tu la google bar d'installé sur ton navigateur (ou l'un de tes modérateurs) ? Il se peut qu'en visitant les pages en question, google bot ait décidé de visiter ces pages.
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

gusterman a dit:
En tout cas, si un bot arrive à exploiter cela, inquiète toi, imagine si un utilisateur mal intentionné s'amuse à faire la même chose :wink:
ça se trouve c'est un utilisateur mal intentionné. Car le spoof d'ip est facile à effectuer et comme aucune réponse n'est attendue du serveur, il est facile de se faire passer pour google.
Mais bon, le mieux étant, au moins une protection par htaccess pour l'interface d'admin
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Si l'interface d'admin est correctement sécurisée, il n'y a aucunement besoin d'un .htaccess pour en protéger l'accès. Un bon formulaire d'authentification avec des mots de passe alphanumériques + vérification des sessions sur chaque page d'admin (et dans les scripts utilisés) est amplement suffisant et surtout plus ergonomique (meilleure intégration notamment).

Protéger l'accès admin via un .htaccess est certes la manière la plus efficace de faire, mais c'est quand même loin d'être le top. C'est un peu comme installer un capteur biométrique sur la porte de son appart. :)
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

si on n'a pas d'url ou d'accés a ton admin, on pourra pas trop t'aider...
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

UsagiYojimbo a dit:
Si l'interface d'admin est correctement sécurisée, il n'y a aucunement besoin d'un .htaccess pour en protéger l'accès. Un bon formulaire d'authentification avec des mots de passe alphanumériques + vérification des sessions sur chaque page d'admin (et dans les scripts utilisés) est amplement suffisant et surtout plus ergonomique (meilleure intégration notamment).

Protéger l'accès admin via un .htaccess est certes la manière la plus efficace de faire, mais c'est quand même loin d'être le top. C'est un peu comme installer un capteur biométrique sur la porte de son appart. :)

C'est exact mais je dois être parano parce que moi je fais les deux..
Par contre je n'ai pas compris pourquoi tu dis que c'est plus ergonomique

(désolé pour le HS)
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

UsagiYojimbo a dit:
vérification des sessions sur chaque page d'admin (et dans les scripts utilisés)
un certain nombre de consoles d'admin se retrouvent avec des id de session dans les url. Je m'en aperçois lors d'inscriptions dans certains annuaires où je retrouve des id de session dans les referer de mes visiteurs.
Donc il suffit qu'il y ait des referer de serveur pirate dans leurs stats, qu'ils les suivent pour voir la provenance de leurs visiteurs et ça y est, le pirate a une connexion sur leur admin.
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Tout simplement parce que designer la boîte modale d'identification générée par le htaccess, je ne crois pas ça possible (mais du coup c'est plus de l'ordre du design que de l'ergo, donc mon mot était mal choisi).

L'avantage c'est qu'en gérant ça au niveau du site, on peut utiliser la BDD pour gérer les comptes ayant accès à l'admin, et mettre en place une gestion fine au niveau des droits. Avec le htaccess, ca me semble bien moins aisé...
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

UsagiYojimbo a dit:
L'avantage c'est qu'en gérant ça au niveau du site, on peut utiliser la BDD pour gérer les comptes ayant accès à l'admin, et mettre en place une gestion fine au niveau des droits. Avec le htaccess, ca me semble bien moins aisé...
si, sans aucun problème. Il suffit, une fois authentifié, de se servir de la valeur de $_SERVER['REMOTE_USER'] et d'y affecter les droits gérés dans la BDD
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Leonick a dit:
UsagiYojimbo a dit:
vérification des sessions sur chaque page d'admin (et dans les scripts utilisés)
un certain nombre de consoles d'admin se retrouvent avec des id de session dans les url. Je m'en aperçois lors d'inscriptions dans certains annuaires où je retrouve des id de session dans les referer de mes visiteurs.
Donc il suffit qu'il y ait des referer de serveur pirate dans leurs stats, qu'ils les suivent pour voir la provenance de leurs visiteurs et ça y est, le pirate a une connexion sur leur admin.

Si le serveur est correctement paramétré (pas de transfert des id de session dans les url), ca n'arrive pas.

Je ne nie pas, note bien, que je trouve que c'est une mauvaise idée, mais je trouve que c'est beaucoup plus lourd de sécuriser une zone d'dmin avec un htaccess.
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

@UsagiYojimbo : mieux compris merci

@UsagiYojimbo : c'est bien vrai, ça m'est déjà arrivé de le constater, et la session n'étant pas expirée d'arriver dans l'admin du visiteur.
ça me fait croire que je suis parano : navigation avec le referer désactivé, protection par htaccess et protection des pages avec sessions et gestion des utilisateurs et droits et même à intervalles régulier je change le nom du répertoire.
Malgré tout peut-on être à l'abri de tout... :?
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Ca avait déjà été relevé sur le forum et dans l'actu WRI, mais voici encore une preuve que google test les formulaires en get

J'ai fait aussi ce rapprochement puisque cela ne se passe que depuis 6, 7 jours. d'un autre cote il a deja fait dans le passé...

Tu n'affiche pas les mails sur ton site ?
Parce qu'en GET, ggbot test tout un tas de mots clés qu'il y a sur ton site. Après comment il contourne tes sessions, là, je vois pas... Tu a surement un accès non protégé quelque part qu'il pourrait connaitre grâce à la toolbar installée sur le poste de tes modos (moi je chercherais de ce côté)

Non aucun mail affiché.
DOnc reste 2 solutions la faille et la recup de donnees par GG (toolbar ou autre)
J'ai privilégié la faille : le fichier qui link sur le fichier et le fichier lui meme sont sécurisés (vérification des sessions)

Pour l'instant j'ai pas trouvé , j'ai placé un .htaccess (ca me fait maintenant 2 login/mdp :? ) bien sur le pb a disparu mais j'avoue que ca me tracasse ... alors que si il faut, c'est un truc tout con, surement meme :roll:

d'un autre cote, je n'ai qu'un seul fichier qui gere les bannissements, il est securisé, il retourne la page d'authentifcation s'il ne trouve pas la sessions en bdd.

Leonick a dit:
UsagiYojimbo a dit:
vérification des sessions sur chaque page d'admin (et dans les scripts utilisés)
un certain nombre de consoles d'admin se retrouvent avec des id de session dans les url. Je m'en aperçois lors d'inscriptions dans certains annuaires où je retrouve des id de session dans les referer de mes visiteurs.
Donc il suffit qu'il y ait des referer de serveur pirate dans leurs stats, qu'ils les suivent pour voir la provenance de leurs visiteurs et ça y est, le pirate a une connexion sur leur admin.
non pas id de sessions dans mes URL
 
WRInaute impliqué
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Il y a t'il un rapport entre les utilisateurs bannis ?

- Provenance géographique
- Fournisseur Email
- Pseudo bizarre
etc...

Moi j'aimerais bien qu'il vienne me bannir quelques Polonais Spameurs en ce moment ... c'est pire que les bresiliens et russes réunis !
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Ah tiens, moi au contraire je note une recrudescence des script de spam ayant une prédisposition pour l'utilisation d'un français passé à la moulinette SMS. :mrgreen:
 
WRInaute passionné
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

Est-ce que l'analyse de tes logs ne peut pas t'apporter quelque chose ?
Par exemple s'il s'agit vraiment de Google, arrive-t-il direct sur ce formulaire ou crawl-t-il d'autres liens auparavant ?
Comme désormais l'accès est bloqué peut-être cela t'apportera-t-il une piste ?
 
WRInaute accro
Re: TRUC DE FOU !!!! GoogleBot banni mes utilisateurs

raljx :

Tes sessions passent par l'url j'imagine : du coup, ça donne une URL indexable par GG grâce à sa toolbar. Et puis ça banni des utilisateurs car tu utilise un formulaire en GET.

A mon avis, plutôt que d'utiliser une protection .htaccess :
- utilise "noindex, nofollow" dans les metas de ton admin (j'imagine que c'est un header commun)
- place un cookie à la connexion à ton admin et en plus de vérifier si les sessions sont correctes, test si le cookie existe.
- réduit la durée de vie de tes sessions
 
WRInaute passionné
Est-ce que tu peux bannir à partir des messages des membres? Que donne un cache des pages?
 
WRInaute passionné
Non mais sessions ne passent pas par l'URL
par contre en effet le script de bannissement utilise des variables en GET.
J'ai analysé mes logs dans les access je vois donc GGBot appeller DIRECTEMENT le script + des variables ...
depuis que j'ai mis le .htaccess bien entendu il descends dans les logs d'erreur ...

@suede : non je ne peux pas bannir a partir des messages. Je ne peux intervenir que par le backoffice géré sur un autre serveur sur lequel il y a un robots.txt qui empeche toute indexation (tout en Dissalow) / 1 script d'authentification (en POST) qui utilise des sessions Mysql ...

Alors maintenant oui, peut etre que la toolbar est en cause ...

Je vais continuer mes investigations car c'est un sujet interessant et qui peut reellement servir ... de plus si je trouve une faille :\ elle est au moins presente depuis 2 ans ...
 
WRInaute accro
j'ai eu ce problème avec alexa qui a du trouver une faille dans l'admin et qui m'a exécuté des actions d'admin ... je n'ai pas trouvé la faille, j'ai juste banni son IP pour le moment.
 
WRInaute passionné
moi je veux bien aider a trouver la faille, mais si personne ne donne d'info, on peut pas aider ...

mais s'il y a aucun lien vers votre admin, je pense comme vous que c'est une extension du navigateur qui ouvre ces pages en utilisant vos cookies de connexion.

Alors, le plus securisé, c'est d'avoir 2 comptes, un compte utilisateur et un compte administrateur avec lequel vous vous connectez juste pour faire des actions de sanctions ou d'administrations. Pour simplement poster, utilisez votre compte utilisateur.
 
WRInaute passionné
T'aurais pas accordé le droit au bot d'Adsense de crawler des parties privatives de ton site ?
 
WRInaute passionné
donc je revient sur le post après une semaine de recherches ........... qui n'ont rien données :(
juste quelques elements en terme de temps

l'acces au backoffice n'a pas bougé depuis 2-3 ans, le forcage (moi j'apelle ca un forcage) a commencé le 06/03/2009 avant, rien dans les logs ... (encore une chance que sur ce serveur je garde mes logs :\)

Tous les fichiers executés sont appellés en DIRECT par le bot

Et pour repondre à MagicYoyo : non je n'ai pas autorisé adsense a acceder a mes ressources protegees.
 
WRInaute passionné
raljx a dit:
donc je revient sur le post après une semaine de recherches ........... qui n'ont rien données :(
juste quelques elements en terme de temps

l'acces au backoffice n'a pas bougé depuis 2-3 ans, le forcage (moi j'apelle ca un forcage) a commencé le 06/03/2009 avant, rien dans les logs ... (encore une chance que sur ce serveur je garde mes logs :\)

Tous les fichiers executés sont appellés en DIRECT par le bot

Et pour repondre à MagicYoyo : non je n'ai pas autorisé adsense a acceder a mes ressources protegees.

Normalement, si tu as interdit á google l'acces au page, tu devrais bientot voir des erreurs dans webmaster tools avec entre autre la page ou il a trouvé le lien.
 
Discussions similaires
Haut