Tentative d'injection sql de googlebot ?

[hyadex]

Bonjour,

Il y a quelques minutes j'ai eu, il me semble, une tentative d'injection SQL sur l'un de mes sites :

 /lapage.php?print=1&pageid=100790\'%20and%201=2%20union%20select%20CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c)%20and%20\'1\'=\'1

Ce code a été exécute environ 50 fois avec + ou - de CONCAT dans l'url.

Le problème, c'est que l'IP de "la personne" ayant executé ce code est : 66.249.71.162

Analyse (66.249.71.162):

Adresse IP:	66.249.71.162
Hostname:	crawl-66-249-71-162.googlebot.com
Pays:	United States (us)
Ville:	Mountain View, CA
Longitude:	-122.0838511
Latitude:	37.3860517

Deux remarques :
- Les pages du type lapage.php?print=1&pageid=...etc. ne sont pas accessibles sur le site et inconnues de googlebot. Toutes les URL sont réécrites.
- Est-il possible que la personne ce soit cachée derrière cette IP pour passer inapercu ? ou est-ce réellement googlebot ?

Si vous avez déjà vu ce cas, ou si vous avez une explication, je suis preneur

Merci d'avance

 

[honolulu]

Est-il possible que la personne ce soit cachée derrière cette IP pour passer inapercu ?

malheureusement, oui...

 

[jcaron]

Je pense qu'il vaut être un peu plus précis que ça... Il est quand même difficile de se cacher derrière une autre IP pour une requête TCP "complète" comme celle-ci (par opposition à balancer de l'UDP ou des TCP SYN par exemple). Donc à mon avis, c'est bel et bien Googlebot qui fait la requête, mais soit:
- c'est Google qui essaie de faire le ménage sur le web en trouvant les sites susceptibles à certaines attaques, pour prévenir son webmaster (comme il semblerait qu'ils ne fassent quand ils trouvent du "malware" sur les sites crawlés)
- quelqu'un lui a "soufflé" ces URLS et attend de voir le résultat dans l'index pour voir s'il y a un trou et s'y engouffrer ensuite.
- ou alors Google s'est fait infiltrer par des gens pas très nets!

La requête elle-même n'a rien de dangereux, elle ne fait que tester la vulnérabilité aux attaques SQL (d'ailleurs, tu as testé pour voir ce que ça donne?).

Tu utilises un CMS ou autre soft "standard" qui a des vulnérabilités connues?

Jacques.

 

[honolulu]

Je pense qu'il vaut être un peu plus précis que ça...

mettons ça sur la fatigue de la fin de journée

- quelqu'un lui a "soufflé" ces URLS et attend de voir le résultat dans l'index pour voir s'il y a un trou et s'y engouffrer ensuite

c'est ce à quoi je pensais. dans tous les cas, j'imagine que google en soi a autre chose à faire que d'aller tester un à un les failles des sites...

 

[hyadex]

Merci pour vos réponse.

J'ai bien entendu testé la requête et pas de problèmes . Mais il faut toujours resté vigilant !

Il s'agit en effet d'un soft, mais qui n'est plus mis à jour par l'éditeur et qui plus est n'a plus grand chose à voir avec l'original tellement je l'ai modifié. A l'époque 2 failles avaient été trouvées, toutes deux corrigées. Je fais en plus une veille régulière pour voir si de nouvelles failles sont trouvées.

Vos deux réflexions sont plausibles, soit google développe un nouveau service pour vérifier la vulnérabilité aux attaques SQL soit un petit malin a envoyé des liens pour tester...

 

[jcaron]

Le truc qui cloche, c'est que le test pour voir si l'injection ne me semble pas super top facile à tester par une requête Google: il faut chercher "'|_|", ce qui n'est quand même pas très facile dans Google, si?

L'autre solution est de chercher le résultat de la requête dans le cache de Google, mais ça me semble horriblement compliqué. Honnêtement, je crois qu'il est quand même nettement plus facile de trouver un botnet qui va faire ça que d'utiliser Google pour ça.

L'autre option c'est que quelqu'un essaie d'utiliser les mécanismes de défense de certains sites (qui utilisent un IDS couplé un firewall pour bloquer automatiquement certaines adresses IP par exemple) pour faire une forme de DoS sur le Googlebot (une DoI: "Denial of Indexing" attack). Comme ça le site visé serait désindexé de Google.

Bref, c'est quand même très bizarre. Je pense qu'il serait intéressant que tu tentes de contacter Google sur le sujet pour voir ce qu'ils en disent. Au minimum ils devraient éviter que Googlebot relaie ce genre d'attaques.

Jacques.

 

[honolulu]

Honnêtement, je crois qu'il est quand même nettement plus facile de trouver un botnet qui va faire ça que d'utiliser Google pour ça.

et cela semble être effectivment le cas d'un botnet ici : http://secshoggoth.blogspot.com/2009/03/odd-sql-injection-attack.html

 

[Leonick]

es-tu sur que ce soit gg bot et non le crawleur d'adsense, car si on teste une url avec une page inconnue de adsense, le robot va venir ensuite parcourir ta page et réutiliser ainsi la requête de recherche de failles