Squirry - SPIP 1.92 - Site de tests Version php utilisée actuellement : 5.6.31 Squirry - SPIP 1.92 - Site de tests Version php utilisée actuellement : 5.6.31
spip192.jermer.fr
Accueil du site > Outils > Surveillance des hits anormaux sur un site Spip
Version php utilisée actuellement : 5.6.31

Surveillance des hits anormaux sur un site Spip

lundi 2 février 2009

Surveillance et filtrage des IP indésirables. Ces IP sont souvent issues de sites relais qui permettent de cacher les vraies ip des visiteurs. Il s’avère que ceux repérés tentent le plus souvent de bourrer les champs de saisie ou tentent l’exécution de code malicieux lancés depuis des sites relais, sur lesquels ils ont été déposés indûment.

Comme beaucoup d’autres responsables de sites internet, je surveille les statistiques de mes sites spip.

J’ai pu constater, par périodes, des aberrations sur les visites. D’anciens articles, certains ayant peu de contenu ou d’intérêt, se trouvaient propulsés dans le top dix des articles les plus fréquentés.

Des articles ayant eu un forum ouvert se trouvaient aussi très sollicités, malgré les contenus devenus obsolètes et les forums fermés.

J’ai donc décidé de surveiller le trafic en enregistrant les accès aux sites. La lecture de ces logs fait apparaître rapidement et aisément des adresses IP qui ciblent certains articles, qui utilisent des paramètres anormaux dans les adresses demandées, qui recherchent des fichiers sensés ne pas se trouver sur le site.

Il est possible, si tout cela ne pose pas de problèmes de fonctionnement aux sites, de constater et de laisser les choses en l’état. Il est aussi possible après vérification, d’interdire l’accès à partir de certaines IP à un site en modifiant son fichier .htaccess à la racine du site.

Exemple : (pour voir les explications sur cette syntaxe, faire une recherche sur .htaccess)

order allow,deny
#deny from 67.195.37.122   #http://www.projecthoneypot.org/ip_67.195.37.122
deny from 67.195.37             #on interdit la plage

Deny from .cn  .ru       # un peu d'ostracisme
allow from all        # on autorise tous les autres

La procédure retenue :

- création d’un fichier acces_page.php déposé dans le répertoire /squelettes
- inclusion de ce fichier dans /inc-head.php <?php include_spip('acces_page'); ?>
- ce code crée un fichier de log log_acces.log dans le répertoire /tmp (sur un site très fréquenté, il est nécessaire de surveiller la taille de ce fichier qui peut prendre très rapidement un poids important). Le code est exécuté à chaque hit ! Le désactiver si non utile.
- à la lecture de ce fichier, les adresses IP qui se répètent fréquemment peuvent être recherchées à l’aide de google par exemple. Si la fréquence de cette IP est importante sur le web, on peut décider de l’interdire à l’aide du code présenté précédemment.
- Sinon on peut les ajouter à listecas.txt (voir ci-dessous).

Ce dispositif conduit à assainir un peu les statistiques et à son échelle protéger le site.

Il ne se substitue pas bien entendu aux divers moyens existants pour protéger les forums et formulaires des malveillances variées et diverses.

Dans le fichier acces_page.php, il y a quelques exemples qui montrent comment rejeter certains paramètres passés avec les url des articles. Ils peuvent bien sûr être supprimés. Ils se trouvent en début de fichier, après la fonction de suivi des rejets qui logue les ip rejetées. Ils affichent la propre IP du visiteur mal intentionné.

Exemple de paramètres parasites : ....ues/// ?aide=http://teamhondacuracao.com/orca/layout/iddd.txt ??

Ce type de fichier passé en paramètre est indiqué comme Back Door => BDS/PHP.........

Ces logs sont stockées dans /tmp/log_rejet.log et squelettes/listecas.txt
Elles permettent de filtrer automatiquement les ip indésirables. Un exemple ci-dessous.
Un fichier compte.txt est créé. Il informe sur le retour de ces ip.

La version 2 gère tous les fichiers dans le répertoire /squelettes/acces_log/ + IP spammer
lire le fichier a_lire.txt

IP bannies

Cette liste est produite par le modèle bannies.html. Syntaxe à ajouter dans un article par exemple : <bannies|>

5.45.203.8 5.45.203.14 34.249.42.90 51.255.65.6 51.255.65.51 51.255.71.122 51.255.65.63 51.255.65.30 51.255.65.27 51.255.71.115 51.255.65.4 51.255.65.95 51.255.65.39 51.255.65.3 51.255.65.66 51.255.65.25 51.255.71.120 51.255.65.48 51.255.65.53 51.255.65.22 51.255.65.5 51.255.71.100 51.255.65.85 51.255.71.130 51.255.71.116 51.255.65.64 51.255.65.68 51.255.65.45 51.255.65.90 51.255.71.112 51.255.65.20 51.255.65.72 51.255.65.35 51.255.65.26 51.255.65.59 51.255.65.82 51.255.65.10 51.255.65.75 51.255.71.133 51.255.65.42 51.255.65.74 51.255.65.41 51.255.65.70 51.255.65.84 51.255.65.14 51.255.65.94 51.255.65.55 51.255.71.125 51.255.71.128 51.255.65.9 51.255.71.121 51.255.65.46 51.255.65.69 51.255.65.93 51.255.65.79 51.255.65.97 51.255.71.98 51.255.64.106 51.255.71.126 51.255.65.83 51.255.71.101 51.255.65.77 51.255.71.113 51.255.65.224 51.255.71.127 51.255.65.18 51.255.65.54 51.255.65.71 51.255.65.88 51.255.65.78 51.255.65.7 51.255.65.17 51.255.65.50 52.214.74.34 52.215.59.218 52.215.86.230 52.31.18.166 52.31.154.76 52.49.97.213 52.50.216.213 61.177.248.202 62.138.2.243 62.138.14.236 62.210.97.48 66.249.76.55 66.249.76.153 66.249.76.142 66.249.76.137 66.249.76.56 66.249.66.199 69.197.163.195 69.30.198.178 69.30.213.82 70.119.100.27 71.13.87.122 72.182.32.139 79.184.219.104 79.184.204.25 79.184.216.161 79.184.210.206 79.184.188.134 80.241.214.123 81.209.177.189 81.209.177.136 81.52.143.29 82.193.100.107 82.193.102.149 85.25.207.10 87.250.244.25 87.250.244.11 88.153.8.11 88.162.215.48 88.198.16.12 88.198.23.179 88.198.66.230 88.198.55.175 88.198.14.175 88.198.19.164 88.198.67.69 91.121.97.49 91.121.79.180 91.121.101.78 91.121.109.55 91.209.51.22 94.154.239.69 94.23.40.23 108.12.27.97 114.44.203.124 136.243.36.84 136.243.68.226 136.243.152.18 136.243.73.76 137.74.207.110 137.74.201.99 137.74.207.188 137.74.207.116 137.74.207.120 137.74.201.100 137.74.207.159 137.74.207.119 137.74.203.194 137.74.201.108 137.74.207.161 137.74.207.101 137.74.207.170 137.74.207.164 141.8.141.132 141.8.141.142 141.8.141.139 141.8.141.144 142.4.215.116 144.76.198.139 144.76.7.106 144.76.4.148 144.76.8.231 144.76.29.66 144.76.29.162 144.76.8.66 144.76.8.132 144.76.38.40 144.76.199.14 144.76.39.34 149.202.49.80 151.80.27.118 151.80.27.116 157.55.39.97 163.172.65.222 163.172.64.251 163.172.70.217 163.172.66.164 163.172.66.95 163.172.66.153 163.172.72.48 163.172.65.209 163.172.74.103 163.172.66.2 163.172.66.65 163.172.64.229 163.172.66.110 163.172.68.132 163.172.64.246 163.172.66.178 163.172.65.41 163.172.64.216 163.172.65.189 163.172.66.85 163.172.64.244 163.172.66.30 163.172.65.207 163.172.66.117 163.172.65.208 163.172.66.126 163.172.66.150 163.172.66.50163.172.65.36 163.172.64.242 163.172.66.103 163.172.64.177 163.172.66.41 163.172.66.56 163.172.66.25 163.172.66.40 163.172.65.126 163.172.74.104 163.172.64.234 163.172.66.132 163.172.66.68 163.172.65.200 163.172.66.70 163.172.66.93 163.172.66.75 163.172.65.5 163.172.65.249 163.172.64.241 163.172.65.38 163.172.65.202 163.172.66.181 163.172.66.51 163.172.66.31 163.172.66.105 163.172.64.180 163.172.65.236 163.172.66.9 163.172.66.55 163.172.65.49 163.172.66.155 163.172.65.252 163.172.65.66 163.172.64.224 163.172.65.246 163.172.65.24 163.172.65.116 163.172.65.20 163.172.64.217 163.172.66.171 163.172.65.113 163.172.66.177 163.172.66.36 163.172.66.81 163.172.65.46 163.172.66.161 163.172.66.106 163.172.65.203 163.172.64.192 163.172.66.29 163.172.65.54 163.172.64.237 163.172.65.53 163.172.64.189 163.172.66.165 163.172.65.192 163.172.64.223 163.172.65.240 163.172.66.119 164.132.162.156 164.132.161.75 164.132.161.59 164.132.161.2 164.132.161.40 164.132.161.92 164.132.161.44 164.132.161.48 164.132.161.76 164.132.161.6 164.132.161.5 164.132.161.19 164.132.161.63 164.132.161.26 164.132.161.67 164.132.161.49 164.132.161.13 164.132.162.154 164.132.161.89 164.132.161.15 164.132.161.43 164.132.161.41 164.132.161.8 164.132.161.55 164.132.161.27 164.132.161.28 164.132.161.12 164.132.161.83 164.132.161.38 164.132.161.58 164.132.161.36 164.132.161.16 164.132.161.60 164.132.164.180 164.132.161.68 164.132.161.9 164.132.161.30 164.132.161.42 164.132.161.73 164.132.161.72 164.132.161.66 164.132.162.157 164.132.161.11 176.31.231.10 188.165.233.228 188.165.233.34 188.165.234.52 192.95.29.116 192.99.203.35 217.182.132.18 217.182.132.96 217.182.132.92 217.182.132.76 217.182.132.148 217.182.132.59 217.182.132.72 217.182.132.180 217.182.132.4 217.182.132.149 217.182.132.191 217.182.132.16 217.182.132.81 217.182.132.73 217.182.132.55 217.182.132.35 217.182.132.173 217.182.132.28 217.182.132.152 217.182.132.75 217.182.132.36 217.182.132.70 217.182.132.83 217.182.132.86 217.182.132.69 217.182.132.52 217.182.132.147 217.182.132.74 217.182.132.6 217.182.132.182 217.182.132.63 217.182.132.79 217.182.132.51 217.182.132.177 217.182.132.27

338 occurrences



Suivre la vie du site RSS 2.0 | Plan du site | Espace privé | SPIP

34 plugins actifs avec Spip 1.9.2o [19288]

En utilisant ce site, vous acceptez l’utilisation de cookies à des fins de personnalisation du contenu.


 
2009-02-02 16:07:46