Tentatives de détournement de formulaire

Le
Michael DENIS
Bonjour,

Depuis 6h ce matin, notre site est la cible de tentatives de
détournement du formulaire de contact beaucoup plus répétées que d'habitude.

Chaque ip à l'origine des tentatives ne fait que deux essais. La
similitude entre les contenus me laisse à penser qu'il s'agit bien d'un
seul et même attaquant disposant d'un petit botnet (ou plus). Les ip
utilisées que j'ai vérifiées se situent en Asie ou aux US.

L'espacement entre les tentatives (une quarantaine en 1h30) peut laisser
penser que l'attaque n'est pas uniquement faite par un robot (à moins
qu'il ne s'attaque à plusieurs sites à la fois).

Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)

--
Michaël DENIS
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
JKB
Le #21352741
Le 10-03-2010, ? propos de
Tentatives de détournement de formulaire,
Michael DENIS ?crivait dans fr.comp.securite :
Bonjour,



Bonjour,

Depuis 6h ce matin, notre site est la cible de tentatives de
détournement du formulaire de contact beaucoup plus répétées que d'habitude.

Chaque ip à l'origine des tentatives ne fait que deux essais. La
similitude entre les contenus me laisse à penser qu'il s'agit bien d'un
seul et même attaquant disposant d'un petit botnet (ou plus). Les ip
utilisées que j'ai vérifiées se situent en Asie ou aux US.

L'espacement entre les tentatives (une quarantaine en 1h30) peut laisser
penser que l'attaque n'est pas uniquement faite par un robot (à moins
qu'il ne s'attaque à plusieurs sites à la fois).

Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)



Solution d'urgence : si potentiellement ton site n'a pas à recevoir
de connexions depuis ces pays, un coup de firewall couplé à geoip
permet d'arreter l'incendie le temps de s'assurer que le code est
propre.

Peut-on voir les logs ?

Cordialement,

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Bruno Tréguier
Le #21352961
Michael DENIS wrote:

Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)



Bonjour,

Quel est le serveur web sur lequel tourne votre site web ? Si c'est du
Apache, il y a un module de type "web application firewall" qui fait un
très bon boulot pour éviter et signaler les injections de code et autres
tentatives malicieuses, c'est mod_security: http://www.modsecurity.org/
C'est pas forcément "bulletproof", mais ça détecte pas mal de choses, y
compris au niveau des "fuites d'info" que pourraient révéler vos pages
et qui pourraient aider un attaquant éventuel.

Au pire, si votre serveur n'est pas Apache (ou un Apache pas très
récent) vous pouvez le protéger avec un autre Apache en reverse proxy en
frontal. Moins trivial à faire, mais tout aussi efficace.

Cordialement,

Bruno
Michael DENIS
Le #21353901
Le 10.03.2010 09:19, Bruno Tréguier a écrit :
Quel est le serveur web sur lequel tourne votre site web ?



Très probablement apache, mais il s'agit d'un mutualisé (chez *vh). Donc
hélas (ou tant mieux ?), vos conseils ne me seront probablement d'aucune
utilité (pour l'instant).

Merci pour votre réponse.

--
Michaël DENIS
Michael DENIS
Le #21353891
Le 10.03.2010 08:34, JKB a écrit :
Solution d'urgence : si potentiellement ton site n'a pas à recevoir
de connexions depuis ces pays



Cela ne représente qu'une très petite partie du trafic, mais rien
d'anormal qu'il en arrive.

Peut-on voir les logs ?



Je ne suis pas encore allé les voir. Ce sont les mécanismes que j'ai mis
au point qui me permettent d'avoir les informations que je vous ai donné.

Tout s'est maintenant calmé, mais j'ai tout de même enregistré près
d'une centaine de tentatives en 2 heures...

--
Michaël DENIS
Stephane Catteau
Le #21354551
Michael DENIS n'était pas loin de dire :

Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)



Etant donné que c'est du mutualisé ta marge de manoeuvre est assez
limitée. Soit tu pries, soit tu désactives le formulaire en attendant
que ça se passe, ce qui n'est pas forcément la meilleure solution.
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et
ensuite les donner à google. Il y a de plus en plus de sites qui
publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Avec un peu de chance tu trouveras la plus part des adresses IP de ce
botnet et il ne te restera plus qu'à les bloquer, soit au niveau du
.htaccess, soit au niveau du script gérant ton formulaire ; c'est un
peu moins barbare que de blacklister des pays entiers.
Michael DENIS
Le #21358481
Le 10.03.2010 13:58, Stephane Catteau a écrit :
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et
ensuite les donner à google. Il y a de plus en plus de sites qui
publient leurs logs ou la liste des adresses IP qui les ont attaqués.



Même avec des réseaux de botnets loin de celui que l'on vient de
découvrir dans l'actualité récente
(http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/),
on se rend compte à quel point certaines méthodes de défense sont déjà
hors concours... Je crains que celle-ci n'en fasse partie...

--
Michaël DENIS
Stephane Catteau
Le #21359551
Michael DENIS devait dire quelque chose comme ceci :

Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et
ensuite les donner à google. Il y a de plus en plus de sites qui
publient leurs logs ou la liste des adresses IP qui les ont attaqués.



Même avec des réseaux de botnets loin de celui que l'on vient de
découvrir dans l'actualité récente
(http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/),
on se rend compte à quel point certaines méthodes de défense sont déjà
hors concours... Je crains que celle-ci n'en fasse partie...



Clairement oui, mais personnellement je ne l'ai jamais considérée
comme une méthode de défense, mais plutôt comme une méthode de filtrage
des logs. Lorsque l'on est la cible d'un botnet, il n'y a que deux cas
de figures, soit on est trouable, auquel cas il n'y a même pas besoin
d'un botnet, soit on ne l'est pas, et on se retrouve avec des logs
pollués au point d'être très difficilement exploitables.
Filtrer pendant une semaine le botnet qui nous a pris pour cible
n'empèchera pas l'une des machines non listées de nous trouer, mais
comme il n'y aura plus qu'elle, ou presque, qui apparaitra dans les
logs, on le verra beaucoup plus facilement ; tout comme l'on verra
aussi plus facilement une attaque venant d'ailleurs. Après tout, le
deuxième effet botnet, c'est son côté écran de fumée. Combien d'admin
amateur finissent par ne même plus regarder les logs tant que dure
l'attaque, découragés par les milliers d'entrée à étudier ?
Publicité
Poster une réponse
Anonyme