Visiteurs indésirables

[SStephane]

Bonjour,

N'étant pas habitué plus que ça à l'hébergement web en ligne, je suis amené à héberger quelques sites et me pose la question sur certaines visites que je qualifierai de suspectes.

J'ai d'ores et déjà crée quelques routine perl qui viennent alimenter les htaccess de règles visant à supprimer les utilisateurs indésirables, de type :

- tentative d'accès au répertoire cgi ou à des librairies

- tentative d'injection en tout genre... xss, sql

Je remarque néanmoins au fil du temps et des logs que de nombreux robots d'outre altantique (ou chinois) font régulièrement des hits sur certaines pages.

Ces robots ne délivrent pas de noms d'agents, je suis donc tenté d'ajouter ceci à mon htaccess pour tenter de faire un pas en avant sur la sécurité, même si n'importe quel robot peut changer cet en-tête facilement :

RewriteCond %{HTTP_USER_AGENT} ^$ [NC]
RewriteRule .* - [F]

Éventuellement supprimer également les accès aux en têtes normales ne chargeant que la page elle même.

Je me demande aussi, si à vouloir trop bien faire, je ne risque pas de bloquer des accès aux visiteurs "normaux" ou à certains moteurs de recherche, cela dit, je ne vois pas l'intérêt de masquer son nom d'agent.

Mes questions sont donc :

Avez-vous une expérience, ou un point de vue à ce sujet ?

Avez-vous une idée de à quoi servent ces robots sans user_agent qui hittent périodiquement les pages des sites ? (c'est récurrent => environ 10 sites sur 10 serveurs différents, non situés au même endroit etc...)

[Kioob]

Bonjour,

de mon point de vue ça ne sert à rien de chercher à bloquer ces tentatives, cela prend énormément de temps pour quasiment aucun bénéfice.

Des scanners de failles en tout genre, il y en a des milliers en permanence partout.

[captain_torche]

D'autant qu'il me semble que certains antivirus désactivent l'envoi de l'user-agent.

[SStephane]

Certes, j'avais peur de faire un peu de parano ... à raison.

Si vous me dites que c'est +/- normal, étant assez sur de mes scripts, je vais laisser faire, c'est la quantité de ces robots qui me faisait flipper.

[captain_torche]

Ensuite, tout dépend de la bande passante qu'ils utilisent.

Si ça dépasse une utilisation "normale", tu peux leur limiter l'accès en fonction de l'adresse IP.

[SStephane]

La bande passante n'est pas énorme vu qu'il ne s'agit que de hits sur les pages et certains fichiers JS (recherche de scripts ajax sans doute ?)

Pour ce qui est de bannir par IP, les IP ne sont jamais les mêmes, et les plages sont également différentes (beaucoup moins), j'ai peur en bannissant des plages de bloquer certains FAI, surtout si j'utilise une routine !

[jcaron]

Avez-vous une idée de à quoi servent ces robots sans user_agent qui hittent périodiquement les pages des sites ? (c'est récurrent => environ 10 sites sur 10 serveurs différents, non situés au même endroit etc...)

Ce sont généralement des botnets à la recherche de vulnérabilités pour infecter d'autres machines et agrandir ainsi le botnet... Le truc important c'est plutôt d'être bien à jour sur tous les softs installés, en particulier tous les trucs en PHP qui ont tendance à être plein de trous très faciles à exploiter.

Tu peux aussi utiliser les services d'un scanner de sécurité (McAfee Secure, Qualys, Comodo PCI...) pour t'assurer qu'il n'y a pas de "trou" exploitable.

Jacques.

[Dudu]

Salut

La plupart des spambots est listée sur le site http://user-agents.org/ avec leur IP, ou leur plage d'IP. Vérifies avec les données que tu as dans tes logs, ce sera une bonne base pour décider de bannir ou pas.

D'autant qu'il me semble que certains antivirus désactivent l'envoi de l'user-agent.

Ce n'est pas plutôt le referer qui est désactivé par certains logiciels de ce genre ?

[KaRaK]

J'espère qu'aucun malin n'aura l'idée de consulter tes pages sensibles avec l'UA de GoogleBot.

Ton htaccess automatique pourrait faire mal

[captain_torche]

Dudu : au temps pour moi, j'ai confondu les deux