Attaque par scripts sur TI-BANK

[critor]

Précision: comme la semaine dernière, l'IP provient d'un des ex pays communistes d'Europe de l'Est.

Donc sûrement un script exécuté depuis un anonymiser encore.


Raison de plus pour la bannir... ce qui est fait.

[critor]

Ben la quasi totalité des archives du portail ont été récupérées...


Assez curieux.

C'est pour revendre le "pack" ?

Le diffuser sur les réseaux P2P ?


Bannir automatiquement, je sais pas.
Mais maintenant que les logs enregistrent la date et l'IP du téléchargement, on doit pouvoir au moins mettre des conditions de refus dans download.php.

Mais bien sûr, il faut s'assurer qu'elles ne se déclenchent pas pour un utilisateur innocent...

[Bisam]

Tu peux interdire de télécharger depuis la même IP plus d'un fichier par période de 5 secondes, avec remise à zéro du compteur à chaque nouvelle tentative.... ça devrait déjà bien gêner les scripts.

[Excale]

Il y a aussi des listes sérieuses d'adresses IP considérées comme dangereuses.

Si je me souviens bien il y en a deux principales:
-une liste assez souple qui ne bannit que les "pires" IP
-une bien plus complète mais avec un léger risque d'attraper des innocents.

Je me souviens qu'un ami avait installé la première pour l'accès au site, et interdit à ceux de la deuxième d'utiliser les formulaires PHP.

EDIT:

J'ai retrouvé un des deux trucs qu'il utilise, par contre je crois que c'est directement pour les serveurs: BlockControl.

[critor]

Tu peux interdire de télécharger depuis la même IP plus d'un fichier par période de 5 secondes, avec remise à zéro du compteur à chaque nouvelle tentative.... ça devrait déjà bien gêner les scripts.

Ça va embêter les innocents qui double-cliquent par erreur.
C'est assez fréquent...

Mieux interdire sur un critère qui identifie clairement un abus.

[Bisam]

Tu peux interdire de télécharger depuis la même IP plus d'un fichier par période de 5 secondes, avec remise à zéro du compteur à chaque nouvelle tentative.... ça devrait déjà bien gêner les scripts.

Ça va embêter les innocents qui double-cliquent par erreur.
C'est assez fréquent...

Mieux interdire sur un critère qui identifie clairement un abus.

Certes, cela peut être gênant... mais là encore, un simple message d'avertissement précisant de bien faire attention à ne pas double-cliquer devrait être suffisant pour ceux qui auraient ce problème.

Cependant, si tu penses que c'est plus propre d'enregistrer les comportements suspects, pourquoi pas ?

[critor]

Avec les pavés tactiles, il suffit souvent de pas grand chose pour cliquer ou double-cliquer par erreur.

[critor]

Non. Ça c'était moi pour les tests d'attaque hier.

J'ai remis à zéro la table "attackip" après.


Bonne nouvelle d'ailleurs: cette table est toujours vide!

[critor]

Nouvelles attaques du portail...

Traitement en cours.

[critor]

Extrait des logs suspects:

Téléchargements abusifs de l'archive 288:
1254451 288 1 1303985707 78.251.243.1X
1254453 288 1 1303985716 78.251.243.1X
1254455 288 1 1303985760 78.251.243.1X
1254456 288 1 1303985761 78.251.243.1X
1254457 288 1 1303985761 78.251.243.1X
1254458 288 1 1303985762 78.251.243.1X
1254459 288 1 1303985762 78.251.243.1X
1254460 288 1 1303985765 78.251.243.1X
1254461 288 1 1303985778 78.251.243.1X
Non détecté par mon script. Je penche pour un robot, mais j'hésite...

Téléchargements abusifs de l'archive 15:
1254355 15 1 1303979117 41.136.185.16X
1254356 15 1 1303979117 41.136.185.16X
1254357 15 1 1303979138 41.136.185.16X
1254358 15 1 1303979177 41.136.185.16X
1254359 15 1 1303979177 41.136.185.16X
Non détecté par mon script. C'est peut-être un humain: 2 double-clics + 1 clic.

Téléchargements normaux puis téléchargements abusifs de l'archive 999:
1251491 3209 1 1303822092 90.29.34.17X
1251495 1303 1 1303822181 90.29.34.17X
1251503 1632 1 1303822306 90.29.34.17X
1251509 2142 1 1303822844 90.29.34.17X
1251513 198 1 1303822980 90.29.34.17X
1251517 552 1 1303823084 90.29.34.17X
1251519 373 1 1303823122 90.29.34.17X
1251523 3083 1 1303823521 90.29.34.17X
1251525 1649 1 1303823762 90.29.34.17X
1251527 1009 1 1303824086 90.29.34.17X
1251529 1704 1 1303824214 90.29.34.17X
1251894 1705 1 1303837943 90.29.34.17X
1251899 1645 1 1303838013 90.29.34.17X
/* Début du comportement suspect */
1251912 999 1 1303838303 90.29.34.17X
1251913 999 1 1303838306 90.29.34.17X
1251914 999 1 1303838306 90.29.34.17X
1251915 999 1 1303838306 90.29.34.17X
1251916 999 1 1303838306 90.29.34.17X
1251917 999 1 1303838307 90.29.34.17X
1251918 999 1 1303838310 90.29.34.17X
1251919 999 1 1303838313 90.29.34.17X
1251920 999 1 1303838314 90.29.34.17X
1251921 999 1 1303838315 90.29.34.17X
/* Comportement abusif détecté par le script */
1251922 999 1 1303838316 90.29.34.17X
1251923 999 1 1303838317 90.29.34.17X
1251924 999 1 1303838318 90.29.34.17X
1251925 999 1 1303838319 90.29.34.17X
1251926 999 1 1303838320 90.29.34.17X
1251927 999 1 1303838320 90.29.34.17X
1251928 999 1 1303838321 90.29.34.17X
1251929 999 1 1303838322 90.29.34.17X
1251930 999 1 1303838323 90.29.34.17X
1251931 999 1 1303838325 90.29.34.17X
1251932 999 1 1303838326 90.29.34.17X
1251933 999 1 1303838332 90.29.34.17X
1251934 999 1 1303838334 90.29.34.17X
1251935 999 1 1303838335 90.29.34.17X
1251936 999 1 1303838338 90.29.34.17X
1251938 999 1 1303838340 90.29.34.17X
1251939 999 1 1303838341 90.29.34.17X
Dans ce dernier cas, c'est clairement une attaque et je pencherai pour le bannissement.
Mais ce qui me turlupine, c'est qu'il y a eu un comportement humainement normal juste avant...
Changement d'IP ?
Ou c'est fait volontairement pour tromper les scripts de détection (même si je n'en tiens absolument pas compte) ?

Si il faut considérer les IP variables, peut-être faudrait-il mettre en place un système de ban temporaire...


Vos avis?