Se connecter
Se connecter
Mot de passe oublié ?
ou
Créer un compte
ou
Se connecter avec Facebook
Notifications
< Retour vers Bidouille & Développement Informatique
Agrandir
Bidouille & Développement Informatique
Les Mains dans le Cambouis
Bidouille & Développement Informatique
Actu 1 1
Articles
Médias 33 33
Tutoriels
Forums 326 326

Sujet Comportement bizarre d'un "invité" sur mon website : dois-je m'inquiéter ?

  • 24 réponses
  • 8 participants
  • 1 846 vues
  • 8 followers
Sujet de la discussion Comportement bizarre d'un "invité" sur mon website : dois-je m'inquiéter ?
:??: bon, je vous raconte çà, c'est par ce que je ne sais pas si je dois m'inquiéter ou pas ??? et si je dois m'inquiéter, que dois-je faire ???

j'ai remarqué hier un visiteur sur le forum associé au site web de mon groupe ... au début j'ai pas vraiment fait attention, mais, vu qu'il y a très peu de fréquentation, à chaque fois que je passais par le panneau d'administration réservé au webmaitres, j'ai vite repéré cet IP, et puis
:8O: je me suis rendu compte que le gars y était encore plusieurs heures après ...

j'ai regardé un peu plus et j'ai vu
:???: qu'il essayait d'ouvrir systématiquement les parties privées du site,
:???: qu'il essayait de poster (reservé aux membres) une à deux fois par minutes,
:???: qu'il essayait de se connecter sans compte ...
:?!: en plus c'est genre une page par minute ...
:???: on dirait une machine qui essaye d'ouvrir des pages au hasard ...
:noidea: au début j'ai pensais à qq qui faisait connaisance avec le groupe et je m'attendais à une demande d'inscription sur le forum (ça ne donne rien de plus que le droit d'écrire) ... mais le gars continut d'ouvrir les pages au hasard et d'essayer de poster
:8O: ce matin, il y est encore ???
:((( j'ai essayé de tracer son IP et j'obtient "Query error: No whois server known for the given domain" ce qui est assez bizzare également ... généralement tu obtiens le provider du visiteur ???

:??: donc, es-ce grave ? que faire ?
Afficher le sujet de la discussion
21
On est même pas sûr qu'il s'agisse effectivement d'une attaque... une première étape serait de déterminer l'origine du trafic avant de se faire un film...

Le "pot de miel" (honeypot) désigne une machine simulée destinée à faire croire à un hacker qu'il a effectivement hacké un serveur. En pratique, ça énerve les hackers, les plus aguerris se rendant vite compte qu'on essaye de les mener en bateau, ce qui augmente leur intérêt pour le hacking du site et augmente le risque d'actes de vandalisme.

Le "puits de goudron" (tar pit) est un système servant des pages bidons aux robots afin de leur faire ingurgiter des tonnes d'informations inutiles au ralentis. Un tar pit judicieusement placé peut provoquer l'abandon du parcours du site par un robot.
22
:coucou: merci dnpro, ragoutoudou, Bertrant pour vos nouveaux conseils
en tout cas pas de traces visibles d'attaques sur mon forum depuis la semaine dernière ...

Citation : avant toute chose, de faire un lookup sur l'IP pour vérifier si ce n'est pas un moteur de recherche

ok, ça j'ai fait et le traceroute ne donnait rien, c'est même ça qui m'a inquiété dès mon premier post ...

Citation : Plutôt que de bloquer l'ip, il peut être intéressant de mettre un fichier robot.txt

:noidea: tu peux m'expliquer un peu plus ??

Citation : Et puis, si c'est un bot qui ne respecte pas les règles du robots.txt, placer un Tar Pit qui va générer des pages web bidons avec des adresses mail bidon dessus, histoire de remplir une éventuelle db d'emails pour le spam avec des crasses

Citation : Un tar pit judicieusement placé peut provoquer l'abandon du parcours du site par un robot

pareil, tu fais comment en pratique pour avoir un brapittbull ;)

Citation : En tout cas, sauvegarde obligatoire de ta base sql et ton ftp

:aime: ah, oui ... ça peut servir et surtout ça mange pas de pain !!

Citation : Un Hacker avait réussi à trouver une faille, et profitait gentiment de mon espace disque pour déposer des pages ressemblant à un site d'une banque américaine. Après, il spamme plein de gens, en envoyant un mail du style "nous avons modifié la gestion internet de votre compte, veuillez cliquer sur ce lien et rentrer vos coordonnées... Un petit script pour récupérer les coordonnées, t'imagines la suite

:oo: p***** craignos ça !!! et en cas de délits, c'est ton site, donc c'est toi qui est responsable ??
23
Tiens bizarre, j'ai toujours cru qu'un tar pit était juste le delai de la réponse précisant que l'accès n'était pas autorisé...réponse en http access forbidden de préférence (ce qui peut resetter la connexion et ralentir tellement le bot qu'il passe à autre chose).

http://soundcloud.com/bat-manson

24

Citation : Tiens bizarre, j'ai toujours cru qu'un tar pit était juste le delai de la réponse précisant que l'accès n'était pas autorisé...réponse en http access forbidden de préférence



Ben le principe du tar pit, c'est de faire perdre du temps au bot, de l'engluer... donc avant tout l'aspect "on file les réponses lentement". Il existe des approches tarpit pour smtp, pour TCP, pour HTTP...

Maintenant de plus en plus d'implémentations pour le HTTP essayent de garder le bot captif le plus longtemps possible en générant des pages bidons, énormes, contenant des données générées aléatoirement et se téléchargeant très lentement.
25

Hors sujet :
Ok, intéressant. J'y connais rien en sécu, mais je regarde de plus en plus ces systèmes pour fournir des fonctionnalités basiques de sécu applicative sur un framework php qu'on développe. Si t'as quelques pistes à me donner pour me faire gagner quelques heures (fais du name dropping te casse pas le cul je chercherais), je prends !

http://soundcloud.com/bat-manson