[Réglé] Urls suspectes

Ce forum aborde toutes les questions qu'un codeur ou webmaster pourrait se poser, et n'ayant aucun rapport direct avec phpBB.
Tout ce qui peut concerner la récupération des sessions de phpBB sur votre site, doit se faire dans cette section.

Modérateur : Équipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com
Répondre
Auteur
wamfiya
Posteur néophyte
Posteur néophyte
Messages : 20
Enregistré le : 10 oct. 2019 à 17:29

Urls suspectes

Message par wamfiya »

Bonjour,

J'utilise l'extension Board statistics (qui est classée ABD). j'ai remarque à plusieurs reprise des urls du genre:
  • posting.php?f=12"%27%21&mode=quote"%27%21&p=351"%27%21
Cette même url "nettoyée" donne:
  • posting.php?f=12&mode=quote&p=351
Quelle est la dangerosité de ce genre d'url ?
Quelle est le but du visiteur ? (surement un robot)


A noter que le "visiteur" à tenté d'accéder au site par deux fois, en moins d'une minute et avec 2 user agent différents:
  • Opera/9.25 (Windows NT 5.0; U; en)
  • Opera/9.10 (Windows NT 5.1; U; pl)
Pour infos, c'est typiquement le genre d'action qui m'on conduit à augmenter la sécurité du forum.

Dans un premier temps par l'ajout "manuel" des ips aux actions suspectes, ca fonctionne mais j'ai pas que ça à faire.

Puis dans un second à la création d'un script mettant mon .htaccess à jour en récupérant chaque heure une liste d'IP mis à jour de manière récurrente avec possibilités d'ajouter des ips manuellement. J'en suis très content, je ne vois plus de "visteur" parcourant des dizaines, voir des vingtaines de pages en 1 minute... Et j'avais, des dizaines de "visiteurs" quotidien avec ce genre de comportement.

De plus j'y ai joint un "firewall" filtrant des urls suspectes. Le système de log m'a permis d'améliorer mon forum, car certaines images avaient des espaces dans leur nom que le firewall à détecté. Rien de bien grave bien sur que d'avoir un espace dans un nom de fichier, mais la supprimer participe à l'amélioration du forum en général. Mais j'ai pu remarquer d'autres comportements tels que:
  • ADRESSE_IP_A - 2021/08/22 18:49:32 - GET - HTTP/1.0 - /tmp/ - - - - Mozilla/5.0 (Linux; Android 5.1.1; SM-J111F) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.90 Mobile Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:37 - GET - HTTP/1.0 - /bbs.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:37 - GET - HTTP/1.0 - /light.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:37 - GET - HTTP/1.0 - /CGI/guestbook - page=1 - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:38 - GET - HTTP/1.0 - /seo-joy.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:38 - GET - HTTP/1.0 - /yybbs.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:41 - GET - HTTP/1.0 - /aska.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:42 - GET - HTTP/1.0 - /default.asp - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:45 - GET - HTTP/1.0 - /album.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
  • ADRESSE_IP_B - 2021/08/23 12:12:48 - GET - HTTP/1.0 - /g_book.cgi - - - - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/71.0.3542.0 Safari/537.36
Hormis une tentative d'accès à un dossier "tmp" (qui n'existe pas), le reste concerne des fichiers "*.cgi" et je dois bien avouer que les CGI me sont inconnu :D. Une brève recherche n'a rien donné de fructueux, hormis pour le navigateur qui existe bel est bien (HeadlessChrome).

Bien sûr, il y a sûrement des actions extrême de ma part concernant ces sécurité. Mais, mon but est que mes véritable visiteur puisse profiter au maximum du forum et que le serveur ne soit pas polluer par des visites inutiles pénalisant les véritables visiteurs.
Skouat
Resp. Traducteurs
Resp. Traducteurs
Messages : 15259
Enregistré le : 02 avr. 2008 à 20:47
Contact :

Urls suspectes

Message par Skouat »

Bonjour,
wamfiya a écrit :
08 sept. 2021 à 15:02
J'utilise l'extension Board statistics (qui est classée ABD). j'ai remarque à plusieurs reprise des urls du genre:
posting.php?f=12"%27%21&mode=quote"%27%21&p=351"%27%21
Cette même url "nettoyée" donne:
posting.php?f=12&mode=quote&p=351

Quelle est la dangerosité de ce genre d'url ?
Ce format d'URL correspond à l'action "Citer" un message
Donc la dangerosité est de zéro vu que c'est le fonctionnement normal du forum.
Là où il faut plus se poser des questions c'est : pourquoi le lien cité est rendu accessible si c'est un invité ou un robot qui est à l'origine de cette génération de lien ?
Une revue des permissions du forum est sans doute à prévoir.
wamfiya a écrit :
08 sept. 2021 à 15:02
Quelle est le but du visiteur ? (surement un robot)
Du visiteur, aucun. C'est effectivement surement un robot qui parcours le forum.
l'idéal est d'identifier le robot (officiel ou malveillant) et de l'ajouter à la liste des robots de phpBB afin que les permissions de robots soient appliquées.
Par exemple, dans les prochaines versions de phpBB, de nouveaux robots vont être ajoutés.
wamfiya a écrit :
08 sept. 2021 à 15:02
Hormis une tentative d'accès à un dossier "tmp" (qui n'existe pas), le reste concerne des fichiers "*.cgi" et je dois bien avouer que les CGI me sont inconnu .
Il y a fort à parier qu'il s'agisse de robots malveillants qui tentent d'accèder à des scripts pour exécuter du code malveillant.
Si les fichiers existent (car le site a été compromis) alors les scripts seront joués.
Si les fichiers n'existent pas alors ça n'a pas d'importance. Sauf si les tentatives d'accès aux scripts sont trops fréquentes (plusieurs fois par secondes) alors dans ce cas il est préférable de réfléchir à des mécaniques de bannissement d'IP et voir à installer des module tel que modsecurity pour apache2 ou autre selon le type de serveur web.
Auteur
wamfiya
Posteur néophyte
Posteur néophyte
Messages : 20
Enregistré le : 10 oct. 2019 à 17:29

Urls suspectes

Message par wamfiya »

En effet, j'avais testé cette url nettoyée et elle a menée vers un sujet existant et visible par un visiteur comme un membre. La ou je m'interroge, c'est pourquoi ce format d'url, les %xx sont des encodages. c'est comme si cela provenait d'un script mal développé. J'ai pas d'exemple, mais j'ai également remarqué des visites sur des url avec des "mark" comme si il avait fait une recherche via le moteur interne de phpbb. Ren que ca, ce n'est pas normal étant donné que je l'ai désactivé au profit de celui de google. Encore un exemple, ou je me souviens d'un user agent de bot (dont je n'ai plus le nom) qui dans son url avait le paramètres de "mise en sujet lu".

Le forum ne permet pas les messages rapides et encore moins pour les simples visiteurs, si on vivait dans le monde des bisounours je le ferai :D.

Au premier spam, j'ai mi en place "une question à répondre" lors de l'inscription, cette simple barrière suffit depuis lors. Puis est venu le temps des ban manuel suite a des consultations de page par centaine. Ca devient vite un boulot. Donc j'ai recherché quelques solutions pour tomber sur "7G firewall". J'avais mal compris son principe, mais suite aux découverte d'url "mal formées" a cause de certain nom de fichier je l'ai gardé. puis et venu le temps du script perso qui met a jour chaque heure le .htaccess avec les ip tor qui sont le biais des spammers. Je précise que je n'ai rien contre l'anonymisation, néanmoins si c'est pour que le site soit constamment soumis à ce genre "d'attaque", je préfère bloquer.

Dans le premier sujet, je parle d'un serveur, mais en réalité, c'est plutôt un hébergement mutualisé, donc a part changer de version de php, je ne peux pas faire grand chose. d'où le choix du filtrage via .htaccess. Donc c'est la que 7g firewall intervient en redirigeant vers une page les demandes douteuses. Pour en revenir aux appelle vers des fichiers images au nom mal formé, l'image ne s'affiche tout simplement pas. Un simple renommage du fichier et un changement dans le "src" a suffit a résoudre le souci. donc a priori si les appelle vers les fichiers "*.cgi" sont dans le log du "firewall", les demande ont du être bloquée.

Concernant les robots, j'en ai ajouté pas mal aussi. J'en donne quelques uns qui pourraient être intéressant à tous :
  1. Adsense
  2. Discordbot/ (je n'ai aps trouvé de page pour celui la, mais il vient quand quelqu'un mets un lien dans discord. A mon avis, il doit récupérer de quoi afficher un résumé/une image)
  3. Qwantify
  4. CriteoBot/
  5. Mail.RU_Bot/
  6. PetalBot (huawei)
  7. Linguee
  8. ....
Skouat
Resp. Traducteurs
Resp. Traducteurs
Messages : 15259
Enregistré le : 02 avr. 2008 à 20:47
Contact :

Urls suspectes

Message par Skouat »

wamfiya a écrit :
09 sept. 2021 à 01:13
La ou je m'interroge, c'est pourquoi ce format d'url, les %xx sont des encodages
C'est un comportement normal et c'est ainsi que certains serveurs web interprètent les caractères non ASCII.
Surtout quand ils sont historisés dans les journaux du serveur.
Donc Il n'y a rien d'anormal à ce niveau là.
wamfiya a écrit :
09 sept. 2021 à 01:13
donc a priori si les appelle vers les fichiers "*.cgi" sont dans le log du "firewall", les demande ont du être bloquée.
C'est dépendant de la config du firewall.
Si il est configuré pour historiser tous les accès (les succès comme les rejets) alors ça ne veut pas dire que les appels aux .cgi ont été bloqués. Il n'y qu'en analysant la configuration des règles du firewall que vous aurez la réponse.

Pour les robots, vous pouvez déduire qu'il y en a un de non identifié quand le compteur des visites indique un nombre plus élevé d'invités qu'à l'accoutumé.
Auteur
wamfiya
Posteur néophyte
Posteur néophyte
Messages : 20
Enregistré le : 10 oct. 2019 à 17:29

Urls suspectes

Message par wamfiya »

Skouat a écrit :
10 sept. 2021 à 01:10
C'est un comportement normal et c'est ainsi que certains serveurs web interprètent les caractères non ASCII.
Surtout quand ils sont historisés dans les journaux du serveur.
Donc Il n'y a rien d'anormal à ce niveau là.
Je viens de retester l'url en question et la page renvoie ce message:
Aucun mode de message n’a été sélectionné.
Comportement normal surement, mais sans effet puisque phpbb ne sait pas la traiter (ce qui est normal).
Skouat a écrit :
10 sept. 2021 à 01:10
C'est dépendant de la config du firewall.
Si il est configuré pour historiser tous les accès (les succès comme les rejets) alors ça ne veut pas dire que les appels aux .cgi ont été bloqués. Il n'y qu'en analysant la configuration des règles du firewall que vous aurez la réponse.
Pour répondre à ca il faut il faut que j'épluche les regex nauséeux :D.
J'ai fait un rapide test avec l'une des urls détectées:
Forbidden
You don't have permission to access /g_book.cgi on this server.
A priori ca bloque :D.
Skouat a écrit :
10 sept. 2021 à 01:10
Pour les robots, vous pouvez déduire qu'il y en a un de non identifié quand le compteur des visites indique un nombre plus élevé d'invités qu'à l'accoutumé.
Je suis assez frénétique à ce niveau la, je consulte plusieurs fois par jour le module cité en premier sujet. J'ai d'ailleurs mis du temps à me rendre compte que les user agent sont disponible en "title" de la colonne "users". Quand j'en repère un je l'ajoute a la parti "robot" de phpbb et autorise ou non son accès dans le robot.txt (en espérant qu'il le respect...).
Skouat
Resp. Traducteurs
Resp. Traducteurs
Messages : 15259
Enregistré le : 02 avr. 2008 à 20:47
Contact :

Urls suspectes

Message par Skouat »

Hello,
wamfiya a écrit :
10 sept. 2021 à 15:04
Skouat a écrit :
10 sept. 2021 à 01:10
C'est un comportement normal et c'est ainsi que certains serveurs web interprètent les caractères non ASCII.
Surtout quand ils sont historisés dans les journaux du serveur.
Donc Il n'y a rien d'anormal à ce niveau là.
Je viens de retester l'url en question et la page renvoie ce message:
Aucun mode de message n’a été sélectionné.
Comportement normal surement, mais sans effet puisque phpbb ne sait pas la traiter (ce qui est normal).
Rien ne me choque dans ce comportement.
La manière dont l'URL est historisée dans le journal du serveur ne signifie en rien que c'est ainsi que phpBB la traite.

Donc, pour résumer, il n'y a rien d'anormal sur ce que vous avez détecté. Et, vous semblez avoir déjà mis en place ce qu'il fallait pour limiter les utilisateurs indésirables.

N'hésitez pas à mettre l'attribut de sujet en [Réglé], si vous considérez que c'est le cas. ;)
Répondre

Retourner vers « Coding, Webmastering et Sécurité informatique »

Qui est en ligne

Utilisateurs parcourant ce forum : Bing [Bot] et 1 invité