TRUC DE FOU !!!! GoogleBot bannit mes utilisateurs

[raljx]

Salut a tous,

Un post pour un truc de fou qui m'arrive depuis 1 semaine

J'ai dans mon administration une fonction qui me permet de bannir des utilisateurs indélicats (et dieu sait qu'il y en a)
Depuis environ 1 semaine, certains utilisateurs nous contactent sur notre support pour râler (et ils ont raison) car nous les avons bannis

Je me retourne vers ma modo elle me dit non, je n'ai pas banni cette personne ...

Je cherche, je cherche... jusqu'à l'idée de créer un champ supplémentaire dans ma table des bannis contenant un REQUEST_URI et un REMOTE_ADDR pour essayer de choper le rigolo qui aurait pu avoir les access a mon admin

Bingo ... 10mn après une nouvelle entrée dans la table avec cette IP : 66.249.71.55 --> crawl-66-249-71-55.googlebot.com

C'est fou ca ... comment il peut exécuter un fichier (suis en $_GET par contre) , le remplir avec un email valide, enfin qui m'appartient, et bannir mon utilisateur ????????????????

La je suis preneur d'infos, sachant qu'en recherchant sur GG je n'ai pas de trace de ce fichier en indexation, ni meme du sous-domaine que j'utilise pour me connecter a mon admin. Ce qui est curieux egalement c'est qu'il contourne mon système de sessions (actuellement les sessions sont enregistrées dans une base mysql a part via un script php)

[agenceinternet]

ca c'est énorme...

bientot google fera notre boulo et ferra office de modérateur sur les forum

[blman]

Tu n'affiche pas les mails sur ton site ?

Parce qu'en GET, ggbot test tout un tas de mots clés qu'il y a sur ton site. Après comment il contourne tes sessions, là, je vois pas... Tu a surement un accès non protégé quelque part qu'il pourrait connaitre grâce à la toolbar installée sur le poste de tes modos (moi je chercherais de ce côté)

Ca avait déjà été relevé sur le forum et dans l'actu WRI, mais voici encore une preuve que google test les formulaires en get : http://forum.webrankinfo.com/googlebot-fait-pleins-recherche-dans-mon- ... 07811.html

[5_legs]

Là c'est quand même fort !
J'espère que tu vas vite trouver comme il fait.

Par contre en attendant tu peux peut-être tester si c'est google le virer (sur ce formulaire) ?
Ou n'autoriser que ton ip et celle de ta modo.

C'est quand même hallucinant là ...

[UsagiYojimbo]

Tu n'affiche pas les mails sur ton site ?

Parce qu'en GET, ggbot test tout un tas de mots clés qu'il y a sur ton site. Après comment il contourne tes sessions, là, je vois pas... Tu a surement un accès non protégé quelque part qu'il pourrait connaitre grâce à la toolbar installée sur le poste de tes modos (moi je chercherais de ce côté)

Ca avait déjà été relevé sur le forum et dans l'actu WRI, mais voici encore une preuve que google test les formulaires en get : http://forum.webrankinfo.com/googlebot-fait-pleins-recherche-dans-mon- ... 07811.html

+1 avec blman. Je pensais exactement à ca : une partie non (ou mal) sécurisée de ton admin couplée avec un formulaire en $_GET.

[gusterman]

En tout cas, si un bot arrive à exploiter cela, inquiète toi, imagine si un utilisateur mal intentionné s'amuse à faire la même chose

Merci Google Bot pour dénicher les failles

As-tu la google bar d'installé sur ton navigateur (ou l'un de tes modérateurs) ? Il se peut qu'en visitant les pages en question, google bot ait décidé de visiter ces pages.

[Leonick]

En tout cas, si un bot arrive à exploiter cela, inquiète toi, imagine si un utilisateur mal intentionné s'amuse à faire la même chose

ça se trouve c'est un utilisateur mal intentionné. Car le spoof d'ip est facile à effectuer et comme aucune réponse n'est attendue du serveur, il est facile de se faire passer pour google.
Mais bon, le mieux étant, au moins une protection par htaccess pour l'interface d'admin

[UsagiYojimbo]

Si l'interface d'admin est correctement sécurisée, il n'y a aucunement besoin d'un .htaccess pour en protéger l'accès. Un bon formulaire d'authentification avec des mots de passe alphanumériques + vérification des sessions sur chaque page d'admin (et dans les scripts utilisés) est amplement suffisant et surtout plus ergonomique (meilleure intégration notamment).

Protéger l'accès admin via un .htaccess est certes la manière la plus efficace de faire, mais c'est quand même loin d'être le top. C'est un peu comme installer un capteur biométrique sur la porte de son appart.

[forummp3]

si on n'a pas d'url ou d'accés a ton admin, on pourra pas trop t'aider...

[5_legs]

Si l'interface d'admin est correctement sécurisée, il n'y a aucunement besoin d'un .htaccess pour en protéger l'accès. Un bon formulaire d'authentification avec des mots de passe alphanumériques + vérification des sessions sur chaque page d'admin (et dans les scripts utilisés) est amplement suffisant et surtout plus ergonomique (meilleure intégration notamment).

Protéger l'accès admin via un .htaccess est certes la manière la plus efficace de faire, mais c'est quand même loin d'être le top. C'est un peu comme installer un capteur biométrique sur la porte de son appart.

C'est exact mais je dois être parano parce que moi je fais les deux..
Par contre je n'ai pas compris pourquoi tu dis que c'est plus ergonomique

(désolé pour le HS)

[Leonick]

vérification des sessions sur chaque page d'admin (et dans les scripts utilisés)

un certain nombre de consoles d'admin se retrouvent avec des id de session dans les url. Je m'en aperçois lors d'inscriptions dans certains annuaires où je retrouve des id de session dans les referer de mes visiteurs.
Donc il suffit qu'il y ait des referer de serveur pirate dans leurs stats, qu'ils les suivent pour voir la provenance de leurs visiteurs et ça y est, le pirate a une connexion sur leur admin.

[UsagiYojimbo]

Tout simplement parce que designer la boîte modale d'identification générée par le htaccess, je ne crois pas ça possible (mais du coup c'est plus de l'ordre du design que de l'ergo, donc mon mot était mal choisi).

L'avantage c'est qu'en gérant ça au niveau du site, on peut utiliser la BDD pour gérer les comptes ayant accès à l'admin, et mettre en place une gestion fine au niveau des droits. Avec le htaccess, ca me semble bien moins aisé...

[Leonick]

L'avantage c'est qu'en gérant ça au niveau du site, on peut utiliser la BDD pour gérer les comptes ayant accès à l'admin, et mettre en place une gestion fine au niveau des droits. Avec le htaccess, ca me semble bien moins aisé...

si, sans aucun problème. Il suffit, une fois authentifié, de se servir de la valeur de $_SERVER['REMOTE_USER'] et d'y affecter les droits gérés dans la BDD

[UsagiYojimbo]

vérification des sessions sur chaque page d'admin (et dans les scripts utilisés)

un certain nombre de consoles d'admin se retrouvent avec des id de session dans les url. Je m'en aperçois lors d'inscriptions dans certains annuaires où je retrouve des id de session dans les referer de mes visiteurs.
Donc il suffit qu'il y ait des referer de serveur pirate dans leurs stats, qu'ils les suivent pour voir la provenance de leurs visiteurs et ça y est, le pirate a une connexion sur leur admin.

Si le serveur est correctement paramétré (pas de transfert des id de session dans les url), ca n'arrive pas.

Je ne nie pas, note bien, que je trouve que c'est une mauvaise idée, mais je trouve que c'est beaucoup plus lourd de sécuriser une zone d'dmin avec un htaccess.

[5_legs]

@UsagiYojimbo : mieux compris merci

@UsagiYojimbo : c'est bien vrai, ça m'est déjà arrivé de le constater, et la session n'étant pas expirée d'arriver dans l'admin du visiteur.
ça me fait croire que je suis parano : navigation avec le referer désactivé, protection par htaccess et protection des pages avec sessions et gestion des utilisateurs et droits et même à intervalles régulier je change le nom du répertoire.
Malgré tout peut-on être à l'abri de tout...