Se prémunir des attaques de type union select (...)

[raljx]

Bonjour

Un de mes sites se fait constamment bombarder par des attaques de type

... union+select+concat(0x5b68345d,0,0x5b2f68345d),concat(0x5b68345d,1,0x5b2f68345d),concat(0x5b68345d,2,0x5b2f68345d),concat(0x5b68345d,3,0x5b2f68345d),concat(0x5b68345d,4,0x5b2f68345d)...

Alors bien sur ces attaques sont parées tel un Général Ishtar de level 6 mais elles continue de plus belles tous les jours avec bien entendu des IPs différentes a chaque coup.

Avis des spécialistes la-dessus histoire de m'en débarrasser ?

 

[rudddy]

place à julia le spécialiste des dédiés.

 

[Julia41]

C'est des scans un peu méchant, surtout que ça m'a l'air un peu ciblé (à moins que ça soit sous un CMS).

Pas trop d'idées sur comment bloquer, ça reste des scans.
Si tu es sur un serveur dédié, tu pourrais utiliser fail2ban avec le jail apache-noscript.conf (à configurer plutôt correctement).
Si tu es sous dedié, tu peux aussi bannir 2/3 pays

 

[finstreet]

J'y ai pensé aussi mais vu la zone à couvrir, il en faudrait plusieurs

Bon sinon tu as la possibilité de détecter certains mots dans l'url et de rediriger quand ils sont détecter. C'est tout bête mais ca peut marcher.

 

[Haroeris]

edit : bouh rudddy à édité , ca enleve un peut du sens à la surenchère

J'y ai pensé aussi mais vu la zone à couvrir, il en faudrait plusieurs

 

[finstreet]

Plus radical

 

[finstreet]

C'est des scans un peu méchant, surtout que ça m'a l'air un peu ciblé (à moins que ça soit sous un CMS).

Pas trop d'idées sur comment bloquer, ça reste des scans.
Si tu es sur un serveur dédié, tu pourrais utiliser fail2ban avec le jail apache-noscript.conf (à configurer plutôt correctement).
Si tu es sous dedié, tu peux aussi bannir 2/3 pays

Oui mais dans l'absolu, si tu traites le paramètre avant de le balancer dans la base, ca risque quoi ?

 

[nwa]

bonjour,

malwarebytes antimalware en version payante est super ! les IP malveillantes sont bloquées en temps réel. La nouvelle version de symantec (la 2011 en beta) est vraiment top avec le SONAR. Avec ces deux logiciels aucune attaque. Et symantec je le teste régulièrement sur un site qui répertorie les virus les plus frais.

Bonne protection à vous.

 

[raljx]

Actuellement je redirige vers une page spécifique qui créée un fichier txt utilisé par iptables ... mais franchement c'est lourd ... pi des fois c'est des ip francaises :\

 

[cedric_g]

Je vais dire une connerie : si dans tes URLs tu es certain de ne jamais avoir d'expressions comme "union", "select", "concat", ou plus généralement "0x???" tu ne peux pas filtrer à la base ?

 

[agenceinternet]

Si jamais tu as aussi crawlprotect qui aide à protéger son site :wink:

La version 2 vient de sortir :

http://www.crawlprotect.com/fr/

 

[Julia41]

Les trucs de "crawl protect" ou équivalent ralentissent énormément le site.

Perso pour les 404 ça donne ça :

cat *.log| grep " 404 " | wc -l
6281

pour "depuis ce matin 6h" pour pas mal de "petit" site (style mon site pro)
pour un client qui n'a qu'un seul gros site :

cat pwet.com.access.log|grep " 404 " |wc -l
12614

Perso je m'en inquiète pas.

Sinon si ça t'inquiète vraiment, tu mets un bon petit error_log sur certaines requêtes méchantes ou sur des pages fantômes (perso je faisais souvent ça sur un faux /phpmyadmin/ à la fin) qui faisait un error_log('IP...').
et après un petit jail fail2ban

@Ruddy je sais pas ce que tu as dit

Edit:
@raljx: tu nous as pas dit si t'es sous un CMS ou non. Sinon quand des POF sortent ça arrive de se faire bien scanner pendant quelques temps tant que la faille est "à la mode".

 

[finstreet]

Je vais dire une connerie : si dans tes URLs tu es certain de ne jamais avoir d'expressions comme "union", "select", "concat", ou plus généralement "0x???" tu ne peux pas filtrer à la base ?

Ben c un peu ce que je pense aussi...

 

[raljx]

...
@raljx: tu nous as pas dit si t'es sous un CMS ou non. Sinon quand des POF sortent ça arrive de se faire bien scanner pendant quelques temps tant que la faille est "à la mode".

non non codé main ...
je bloque déjà en utlisant isset() sur mes variables et en checkant l'URL ...
Quant à la remarque de cedric_g, j'ai en effet des expressions contenant les mots union, select ... mais je filtre deja pas mal a la base ... le truc qui m'emmerde, c'est mes perfs qui en prennent un coup lors d'une attaque (environ 4 / 5 par jour)

je pensais utiliser

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name BLACKLIST --set
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name BLACKLIST --update --seconds 10 --hitcount 30 --rttl -j DROP

mais j'ai peur de catcher des visiteurs dans le lot

 

[Leonick]

Quant à la remarque de cedric_g, j'ai en effet des expressions contenant les mots union, select ...

il te parlait d'url. Si dans tes url tu n'as pas ces mots là, tu peux déjà bloquer, ne serait-ce que pas htaccess

 

[seebz]

Quant à la remarque de cedric_g, j'ai en effet des expressions contenant les mots union, select ...

il te parlait d'url. Si dans tes url tu n'as pas ces mots là, tu peux déjà bloquer, ne serait-ce que pas htaccess

C'est ce que j'aurai aussi recommandé.

J'imagine que non, mais peut-on avoir l'url (par MP) ?