|
Achel_Jay
 2691 
|  Posté : 04-06-2006 01:49
Bon, y'a déjà le no-spambots qui est en cours de création et qui malgré qq petits bugs devrait bientôt être parfaitement opérationnel vu comment bosse néo ...
Dev, fodrais l'implémenter de base dans la prochaine version avec une case à cocher dans le config.php avec un test de présence de la librairie GDscript ce serait vraiment pas mal.
D'un autre côté, y'a qqch qui me chiffone un bon coups, j'ai rentré dans le ip-ban (j'avais qd même fait la première version avec snipe et ca fonctionnait bien), ces saloperies de bots le contourne ... alors j'ai pensé à un truc qui peut vachement être utile =>
Il faudrait faire une fusion entre le no-spambots et le session-logs, rajouter un code et une colonne mysql ne prenant en compte que les tentatives de post sans entrer le cryptograme, qui renvoit automatiquement l'adresse ip dans la table de ip-ban, mais une table que liée aux spambots.
Là où ca peut devenir intéressant pour la sécu, et dev va me chier dessus pcq je vais lui ressortir un vieu concept (  ) : on implémente du code cluster-paradise qui exporte grâce à un boutton "secure-cluster" (bon c'est pris au hasard) le tout dans une db unique sur un server à part(suis pret même à l'héberger cette db). Un autre boutton permettant de faire une MàJ de cette table en ajoutant le fichier global... un peu à la manière d'un anti-virus ... et par exemple sur npds, vu la communauté et cette base de donnée d'adresses ip on peut créer un script envoyant à une agence de type abuse cette liste d'ip (et comme y'aura des tonnes ... avec les dates, les heures, les providers etc, au moins pour une fois on peut espérer qu'un se fasse chopper).
Y'a aussi sur le même principe de déporter la sécu de npds dans un répertoire contenant les fichiers de scripts et de permettre une mise à jour en ligne de la sécu du site par rappatriation de ces fichiers lors de mises à jour des fichiers de sécu ...
Enfin, ce ne sont que qq idées qui linkerais pas mal de scripts déjà présents et qui permettrait à tout le monde de se patcher rapidement. |
 Profil  E-mail  www  Citation
|
|
Tito
7758
| Posté : 04-06-2006 02:09
Je pense qu'il est temps qu'on réagisse. Après s'être attaqués aux e-mails, les spammeurs publient sur les commentaires et les forums de sites dynamiques.
C'est actuellement en fait un moyen très prolifique et facile: peu de systèmes les bloquent alors que les spams e-mails sont maintenant presque toujours bloqués.
Mais cela pourrait changer. Sur mon blog, j'ai installé un plugin qui a un fonctionnement similaire au filtre de Thunderbird. On pourrait peut-être l'adapter à NPDS? Le site du créateur: http://slashboot.free.fr/index.php?id=9,0,0,1,0,0 |
Profil E-mail www Citation
|
|
neo_machine
598
| Posté : 04-06-2006 04:59
Une modif de "no-spambots.zip" avec uniquement la variable de session qui est utilisée.
Comme cela, plus aucune information ne circule dans les URL.
DL ici.
_][Etre autonome, c'est avoir besoin des autres et savoir que les autres ont besoin de soi ...][_ |
Profil www Citation
|
|
Achel_Jay
2691
| Posté : 04-06-2006 16:07
Le problème avec ces bots c est qui font de linjection de code dans des pages qu'ils doivent avoir en stock (en gros le bots doit avoir un npds sur server et juste changer l'adresse pour l injection du code) ...
second blème, il bypass le système de hiérarchie ... via url injection ...
Tertio, il bypass la limite forte de posts par journée vu qu'il utilise en plus des proxy pour changer d'ip ... et en plus l ipban ne le prend pas en compte vu que c'est de l injection directe et non indirecte via un formulaire ...
Je dis qd même chapo à celui qui a créé ce bot pcq il nous met devant un faille exploitable de manière automatisée capable de nous faire bien chier et de pondre une contremesure qui touche au core de npds ... 
Une chose qui faudrait savoir c'est si ça ne touche que npds et si ce n'est pas le cas voire les contrmesures mises en place par les autres cms. Pcq si c'est le cas ca dois etre lié soit à une portion de code ou variable identique ou pire ... une faille de apache, php ou mysql  ... et là vu le temps qui mettent pour faire des patchs c'est la merde ...
En tout cas je dirais pour ceux qui ont encore des logs qui les sauvegardent et qu ils les rassemblent pour une plainte (et surtout pour des justification auprès des hébergeurs qui risquent d'en avoir marre de ce flood sur la bande passante et la base mysql). Perso ils peuvent bloquer l'accès à ce range d'ip direct via leur firewall aussi ... ou alors y sont cons et non-secure et eux doivent se plaindre aux ISP en cause.
autre possibilité : on fait du reversing en trouvant un exemple de ce genre de bot pour voir ou se trouve la faille ... et on patch à partir des conclusions. Si c'est comme les outils de pen-test ca doit etre un bot général avec des scripts-addons...
Dernière solution mais illégale => on flood le proxy comme des bêtes jusqu'à ce qu'il tombe vu qu'il n'en utilise que deux dans des zones géographiques hors de l'EU et des USA dans des pays sans législation véritable de sécurité informatique ... c est dégeu mais bon, ça devient de l'auto-défense : surtout qui y'a des script php qui le font très bien pour automatiser sur chaque site lors des posts ... |
Profil E-mail www Citation
|
|
neo_machine
598
| |
Achel_Jay
2691
| Posté : 05-06-2006 17:44
bien joué +1000 man
pour le cryptograme en librairie gd, et l'autre avec la question, je regarderai pour les passer en modules et voir si y a moyen de désactiver et d'activer la protection dans une admin de type ip-ban, dès que j'ai le temps, ca éviterais de toucher au code du noyau et permettrait de le déployer plus vite sans erreur (perso j'ai toujours une erreur de type 16 )
En tout cas c'est exellent, t as développé ca hyper rapidement alors que j'avais essayé y a qq années au début de l'appartition de ce type de protection, d'ailleur un de la tnt m'avait demandé si j avais encore les codes mais c était pourri et j'arrivais pas à faire une admin (pompé d'un tuto de la hackadémie).
 |
Profil E-mail www Citation
|
|
neo_machine
598
| Posté : 05-06-2006 18:27
Impossible de le passer en module car c'est du code pur de NPDS qu'il faut modifier entre deux [form] dans tous les fic concernés.
Et question de module, n'est-ce pas, Ji. |
Profil www Citation
|
|
developpeur
24581
| Posté : 05-06-2006 23:10
effectivement néo / tcho achel ... le code proposer par Neo devrait intègrer la prochaine version je pense (tito / Pomme ?) |
Profil E-mail www Citation
|
|
Anonyme
19853
| Posté : 05-06-2006 23:47
Si je peux faire autre chose, ... suivant mes petits moyens et possibilités ... avec grand plaisir.
|
Citation
|
|
neo_machine
598
| |
xgonin
709
| Posté : 06-06-2006 08:46
Citation : neo_machine
Une modif de "no-spambots.zip" avec uniquement la variable de session qui est utilisée.
Comme cela, plus aucune information ne circule dans les URL.
DL ici.
Nickel, ça marche du tonnerre de dieu !
Xav
www.xgonin.ch
Message édité par : xgonin / 06-06-2006 08:47 |
Profil www Citation
|
|
Jireck
8422
| |
neo_machine
598
| |
Jireck
8422
| Posté : 06-06-2006 19:01
heeeuu pourquoi je comprends rien ??? |
Profil Citation
|
|
neo_machine
598
| |
| Aller à la page : [ 1 | 2 ] | |
Dev 
|
Charte|
Nous contacter|CNIL : 873057|Logiciel sous licence GNU/GPL|
.:Page >> Super-Cache:.