Depuis 6h ce matin, notre site est la cible de tentatives de
détournement du formulaire de contact beaucoup plus répétées que d'habitude.
Chaque ip à l'origine des tentatives ne fait que deux essais. La
similitude entre les contenus me laisse à penser qu'il s'agit bien d'un
seul et même attaquant disposant d'un petit botnet (ou plus). Les ip
utilisées que j'ai vérifiées se situent en Asie ou aux US.
L'espacement entre les tentatives (une quarantaine en 1h30) peut laisser
penser que l'attaque n'est pas uniquement faite par un robot (à moins
qu'il ne s'attaque à plusieurs sites à la fois).
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JKB
Le 10-03-2010, ? propos de Tentatives de détournement de formulaire, Michael DENIS ?crivait dans fr.comp.securite :
Bonjour,
Bonjour,
Depuis 6h ce matin, notre site est la cible de tentatives de détournement du formulaire de contact beaucoup plus répétées que d'habitude.
Chaque ip à l'origine des tentatives ne fait que deux essais. La similitude entre les contenus me laisse à penser qu'il s'agit bien d'un seul et même attaquant disposant d'un petit botnet (ou plus). Les ip utilisées que j'ai vérifiées se situent en Asie ou aux US.
L'espacement entre les tentatives (une quarantaine en 1h30) peut laisser penser que l'attaque n'est pas uniquement faite par un robot (à moins qu'il ne s'attaque à plusieurs sites à la fois).
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit aussi propre que je le pense ? :-)
Solution d'urgence : si potentiellement ton site n'a pas à recevoir de connexions depuis ces pays, un coup de firewall couplé à geoip permet d'arreter l'incendie le temps de s'assurer que le code est propre.
Peut-on voir les logs ?
Cordialement,
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Le 10-03-2010, ? propos de
Tentatives de détournement de formulaire,
Michael DENIS ?crivait dans fr.comp.securite :
Bonjour,
Bonjour,
Depuis 6h ce matin, notre site est la cible de tentatives de
détournement du formulaire de contact beaucoup plus répétées que d'habitude.
Chaque ip à l'origine des tentatives ne fait que deux essais. La
similitude entre les contenus me laisse à penser qu'il s'agit bien d'un
seul et même attaquant disposant d'un petit botnet (ou plus). Les ip
utilisées que j'ai vérifiées se situent en Asie ou aux US.
L'espacement entre les tentatives (une quarantaine en 1h30) peut laisser
penser que l'attaque n'est pas uniquement faite par un robot (à moins
qu'il ne s'attaque à plusieurs sites à la fois).
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)
Solution d'urgence : si potentiellement ton site n'a pas à recevoir
de connexions depuis ces pays, un coup de firewall couplé à geoip
permet d'arreter l'incendie le temps de s'assurer que le code est
propre.
Peut-on voir les logs ?
Cordialement,
JKB
--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.
Le 10-03-2010, ? propos de Tentatives de détournement de formulaire, Michael DENIS ?crivait dans fr.comp.securite :
Bonjour,
Bonjour,
Depuis 6h ce matin, notre site est la cible de tentatives de détournement du formulaire de contact beaucoup plus répétées que d'habitude.
Chaque ip à l'origine des tentatives ne fait que deux essais. La similitude entre les contenus me laisse à penser qu'il s'agit bien d'un seul et même attaquant disposant d'un petit botnet (ou plus). Les ip utilisées que j'ai vérifiées se situent en Asie ou aux US.
L'espacement entre les tentatives (une quarantaine en 1h30) peut laisser penser que l'attaque n'est pas uniquement faite par un robot (à moins qu'il ne s'attaque à plusieurs sites à la fois).
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit aussi propre que je le pense ? :-)
Solution d'urgence : si potentiellement ton site n'a pas à recevoir de connexions depuis ces pays, un coup de firewall couplé à geoip permet d'arreter l'incendie le temps de s'assurer que le code est propre.
Peut-on voir les logs ?
Cordialement,
JKB
-- Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre masse corporelle, mais disperse à lui seul 25% de l'énergie que nous consommons tous les jours.
Bruno Tréguier
Michael DENIS wrote:
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit aussi propre que je le pense ? :-)
Bonjour,
Quel est le serveur web sur lequel tourne votre site web ? Si c'est du Apache, il y a un module de type "web application firewall" qui fait un très bon boulot pour éviter et signaler les injections de code et autres tentatives malicieuses, c'est mod_security: http://www.modsecurity.org/ C'est pas forcément "bulletproof", mais ça détecte pas mal de choses, y compris au niveau des "fuites d'info" que pourraient révéler vos pages et qui pourraient aider un attaquant éventuel.
Au pire, si votre serveur n'est pas Apache (ou un Apache pas très récent) vous pouvez le protéger avec un autre Apache en reverse proxy en frontal. Moins trivial à faire, mais tout aussi efficace.
Cordialement,
Bruno
Michael DENIS wrote:
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)
Bonjour,
Quel est le serveur web sur lequel tourne votre site web ? Si c'est du
Apache, il y a un module de type "web application firewall" qui fait un
très bon boulot pour éviter et signaler les injections de code et autres
tentatives malicieuses, c'est mod_security: http://www.modsecurity.org/
C'est pas forcément "bulletproof", mais ça détecte pas mal de choses, y
compris au niveau des "fuites d'info" que pourraient révéler vos pages
et qui pourraient aider un attaquant éventuel.
Au pire, si votre serveur n'est pas Apache (ou un Apache pas très
récent) vous pouvez le protéger avec un autre Apache en reverse proxy en
frontal. Moins trivial à faire, mais tout aussi efficace.
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit aussi propre que je le pense ? :-)
Bonjour,
Quel est le serveur web sur lequel tourne votre site web ? Si c'est du Apache, il y a un module de type "web application firewall" qui fait un très bon boulot pour éviter et signaler les injections de code et autres tentatives malicieuses, c'est mod_security: http://www.modsecurity.org/ C'est pas forcément "bulletproof", mais ça détecte pas mal de choses, y compris au niveau des "fuites d'info" que pourraient révéler vos pages et qui pourraient aider un attaquant éventuel.
Au pire, si votre serveur n'est pas Apache (ou un Apache pas très récent) vous pouvez le protéger avec un autre Apache en reverse proxy en frontal. Moins trivial à faire, mais tout aussi efficace.
Cordialement,
Bruno
Michael DENIS
Le 10.03.2010 09:19, Bruno Tréguier a écrit :
Quel est le serveur web sur lequel tourne votre site web ?
Très probablement apache, mais il s'agit d'un mutualisé (chez *vh). Donc hélas (ou tant mieux ?), vos conseils ne me seront probablement d'aucune utilité (pour l'instant).
Merci pour votre réponse.
-- Michaël DENIS
Le 10.03.2010 09:19, Bruno Tréguier a écrit :
Quel est le serveur web sur lequel tourne votre site web ?
Très probablement apache, mais il s'agit d'un mutualisé (chez *vh). Donc
hélas (ou tant mieux ?), vos conseils ne me seront probablement d'aucune
utilité (pour l'instant).
Quel est le serveur web sur lequel tourne votre site web ?
Très probablement apache, mais il s'agit d'un mutualisé (chez *vh). Donc hélas (ou tant mieux ?), vos conseils ne me seront probablement d'aucune utilité (pour l'instant).
Merci pour votre réponse.
-- Michaël DENIS
Michael DENIS
Le 10.03.2010 08:34, JKB a écrit :
Solution d'urgence : si potentiellement ton site n'a pas à recevoir de connexions depuis ces pays
Cela ne représente qu'une très petite partie du trafic, mais rien d'anormal qu'il en arrive.
Peut-on voir les logs ?
Je ne suis pas encore allé les voir. Ce sont les mécanismes que j'ai mis au point qui me permettent d'avoir les informations que je vous ai donné.
Tout s'est maintenant calmé, mais j'ai tout de même enregistré près d'une centaine de tentatives en 2 heures...
-- Michaël DENIS
Le 10.03.2010 08:34, JKB a écrit :
Solution d'urgence : si potentiellement ton site n'a pas à recevoir
de connexions depuis ces pays
Cela ne représente qu'une très petite partie du trafic, mais rien
d'anormal qu'il en arrive.
Peut-on voir les logs ?
Je ne suis pas encore allé les voir. Ce sont les mécanismes que j'ai mis
au point qui me permettent d'avoir les informations que je vous ai donné.
Tout s'est maintenant calmé, mais j'ai tout de même enregistré près
d'une centaine de tentatives en 2 heures...
Solution d'urgence : si potentiellement ton site n'a pas à recevoir de connexions depuis ces pays
Cela ne représente qu'une très petite partie du trafic, mais rien d'anormal qu'il en arrive.
Peut-on voir les logs ?
Je ne suis pas encore allé les voir. Ce sont les mécanismes que j'ai mis au point qui me permettent d'avoir les informations que je vous ai donné.
Tout s'est maintenant calmé, mais j'ai tout de même enregistré près d'une centaine de tentatives en 2 heures...
-- Michaël DENIS
Stephane Catteau
Michael DENIS n'était pas loin de dire :
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit aussi propre que je le pense ? :-)
Etant donné que c'est du mutualisé ta marge de manoeuvre est assez limitée. Soit tu pries, soit tu désactives le formulaire en attendant que ça se passe, ce qui n'est pas forcément la meilleure solution. Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et ensuite les donner à google. Il y a de plus en plus de sites qui publient leurs logs ou la liste des adresses IP qui les ont attaqués. Avec un peu de chance tu trouveras la plus part des adresses IP de ce botnet et il ne te restera plus qu'à les bloquer, soit au niveau du .htaccess, soit au niveau du script gérant ton formulaire ; c'est un peu moins barbare que de blacklister des pays entiers.
Michael DENIS n'était pas loin de dire :
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit
aussi propre que je le pense ? :-)
Etant donné que c'est du mutualisé ta marge de manoeuvre est assez
limitée. Soit tu pries, soit tu désactives le formulaire en attendant
que ça se passe, ce qui n'est pas forcément la meilleure solution.
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et
ensuite les donner à google. Il y a de plus en plus de sites qui
publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Avec un peu de chance tu trouveras la plus part des adresses IP de ce
botnet et il ne te restera plus qu'à les bloquer, soit au niveau du
.htaccess, soit au niveau du script gérant ton formulaire ; c'est un
peu moins barbare que de blacklister des pays entiers.
Bref, y a-t-il autre chose à faire que de prier pour que mon code soit aussi propre que je le pense ? :-)
Etant donné que c'est du mutualisé ta marge de manoeuvre est assez limitée. Soit tu pries, soit tu désactives le formulaire en attendant que ça se passe, ce qui n'est pas forcément la meilleure solution. Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et ensuite les donner à google. Il y a de plus en plus de sites qui publient leurs logs ou la liste des adresses IP qui les ont attaqués. Avec un peu de chance tu trouveras la plus part des adresses IP de ce botnet et il ne te restera plus qu'à les bloquer, soit au niveau du .htaccess, soit au niveau du script gérant ton formulaire ; c'est un peu moins barbare que de blacklister des pays entiers.
Michael DENIS
Le 10.03.2010 13:58, Stephane Catteau a écrit :
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et ensuite les donner à google. Il y a de plus en plus de sites qui publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Même avec des réseaux de botnets loin de celui que l'on vient de découvrir dans l'actualité récente (http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/), on se rend compte à quel point certaines méthodes de défense sont déjà hors concours... Je crains que celle-ci n'en fasse partie...
-- Michaël DENIS
Le 10.03.2010 13:58, Stephane Catteau a écrit :
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et
ensuite les donner à google. Il y a de plus en plus de sites qui
publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Même avec des réseaux de botnets loin de celui que l'on vient de
découvrir dans l'actualité récente
(http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/),
on se rend compte à quel point certaines méthodes de défense sont déjà
hors concours... Je crains que celle-ci n'en fasse partie...
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et ensuite les donner à google. Il y a de plus en plus de sites qui publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Même avec des réseaux de botnets loin de celui que l'on vient de découvrir dans l'actualité récente (http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/), on se rend compte à quel point certaines méthodes de défense sont déjà hors concours... Je crains que celle-ci n'en fasse partie...
-- Michaël DENIS
Stephane Catteau
Michael DENIS devait dire quelque chose comme ceci :
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et ensuite les donner à google. Il y a de plus en plus de sites qui publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Même avec des réseaux de botnets loin de celui que l'on vient de découvrir dans l'actualité récente (http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/), on se rend compte à quel point certaines méthodes de défense sont déjà hors concours... Je crains que celle-ci n'en fasse partie...
Clairement oui, mais personnellement je ne l'ai jamais considérée comme une méthode de défense, mais plutôt comme une méthode de filtrage des logs. Lorsque l'on est la cible d'un botnet, il n'y a que deux cas de figures, soit on est trouable, auquel cas il n'y a même pas besoin d'un botnet, soit on ne l'est pas, et on se retrouve avec des logs pollués au point d'être très difficilement exploitables. Filtrer pendant une semaine le botnet qui nous a pris pour cible n'empèchera pas l'une des machines non listées de nous trouer, mais comme il n'y aura plus qu'elle, ou presque, qui apparaitra dans les logs, on le verra beaucoup plus facilement ; tout comme l'on verra aussi plus facilement une attaque venant d'ailleurs. Après tout, le deuxième effet botnet, c'est son côté écran de fumée. Combien d'admin amateur finissent par ne même plus regarder les logs tant que dure l'attaque, découragés par les milliers d'entrée à étudier ?
Michael DENIS devait dire quelque chose comme ceci :
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et
ensuite les donner à google. Il y a de plus en plus de sites qui
publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Même avec des réseaux de botnets loin de celui que l'on vient de
découvrir dans l'actualité récente
(http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/),
on se rend compte à quel point certaines méthodes de défense sont déjà
hors concours... Je crains que celle-ci n'en fasse partie...
Clairement oui, mais personnellement je ne l'ai jamais considérée
comme une méthode de défense, mais plutôt comme une méthode de filtrage
des logs. Lorsque l'on est la cible d'un botnet, il n'y a que deux cas
de figures, soit on est trouable, auquel cas il n'y a même pas besoin
d'un botnet, soit on ne l'est pas, et on se retrouve avec des logs
pollués au point d'être très difficilement exploitables.
Filtrer pendant une semaine le botnet qui nous a pris pour cible
n'empèchera pas l'une des machines non listées de nous trouer, mais
comme il n'y aura plus qu'elle, ou presque, qui apparaitra dans les
logs, on le verra beaucoup plus facilement ; tout comme l'on verra
aussi plus facilement une attaque venant d'ailleurs. Après tout, le
deuxième effet botnet, c'est son côté écran de fumée. Combien d'admin
amateur finissent par ne même plus regarder les logs tant que dure
l'attaque, découragés par les milliers d'entrée à étudier ?
Michael DENIS devait dire quelque chose comme ceci :
Sinon tu peux aussi rechercher 2 ou 3 adresses IP dans les logs et ensuite les donner à google. Il y a de plus en plus de sites qui publient leurs logs ou la liste des adresses IP qui les ont attaqués.
Même avec des réseaux de botnets loin de celui que l'on vient de découvrir dans l'actualité récente (http://info.sfr.fr/monde/articles/Un-immense-reseau-d-ordinateurs-pirates-demantele,131912/), on se rend compte à quel point certaines méthodes de défense sont déjà hors concours... Je crains que celle-ci n'en fasse partie...
Clairement oui, mais personnellement je ne l'ai jamais considérée comme une méthode de défense, mais plutôt comme une méthode de filtrage des logs. Lorsque l'on est la cible d'un botnet, il n'y a que deux cas de figures, soit on est trouable, auquel cas il n'y a même pas besoin d'un botnet, soit on ne l'est pas, et on se retrouve avec des logs pollués au point d'être très difficilement exploitables. Filtrer pendant une semaine le botnet qui nous a pris pour cible n'empèchera pas l'une des machines non listées de nous trouer, mais comme il n'y aura plus qu'elle, ou presque, qui apparaitra dans les logs, on le verra beaucoup plus facilement ; tout comme l'on verra aussi plus facilement une attaque venant d'ailleurs. Après tout, le deuxième effet botnet, c'est son côté écran de fumée. Combien d'admin amateur finissent par ne même plus regarder les logs tant que dure l'attaque, découragés par les milliers d'entrée à étudier ?
