Hoi,
Tot mijn grote verbazing zie ik dat google een poging heeft gedaan om een SQL injectie uit te voeren.
Ik heb namelijk een script gemaakt die SQL injecties blokkeert en mij direct een e-mail stuurt met daarin het IP adres van de hacker en het echte IP adres die dus door een proxy heen kijkt.
Ik krijg deze e-mail:
Mysql Injection
(proxy) IP-Adres: 66.249.71.229
IP-Adres: crawl-66-249-71-229.googlebot.com
Game ID: ---
Normaal gesproken grijp ik na zon e-mail altijd gelijk in door het IP adres te verbannen van mijn site maar ik ben bang dat ik hiermee heel google verban en er dus geen pagina's meer geïndexeerd kunnen worden.
Wat kan ik hieraan doen?
Mvg,
Bas S
- Google doet een SQL injectie?
-
19-09-2009, 15:50 #1
- Berichten
- 604
- Lid sinds
- 16 Jaar
Google doet een SQL injectie?
-
-
19-09-2009, 15:54 #2
- Berichten
- 1.355
- Lid sinds
- 18 Jaar
Weet je zeker dat het geen bug is in het script. Dat de bot geen injectie heeft
willen uitvoeren maar iets anders gedaan, wat het script opving als aanval?
-
19-09-2009, 15:55 #3
- Berichten
- 604
- Lid sinds
- 16 Jaar
Ik zal het script even openen en hier posten wat hij tegenhoud, deze houd met name posts als DROP TABLE of andere dingen die je in een query tegenkomt.
Aanvullend bericht:
Het script stop de volgende inputs, posts en gets: mysql, query, ; }, %40, DROPTABLE en TRUNCATELaatst aangepast door Bas S. : 19-09-2009 om 15:58 Reden: Automatisch samengevoegd.
-
19-09-2009, 16:07 #4
- Berichten
- 186
- Lid sinds
- 16 Jaar
mischien iemand die zich als google bot gedraagd is gewoon een kwestie van je browser even aanpassen
-
19-09-2009, 16:12 #5
- Berichten
- 21
- Lid sinds
- 16 Jaar
Dat lijkt mij sterk.
Anders is je hostname niet: crawl-66-249-71-229.googlebot.com
Wat ik eerder denk is dat er een pagina ergens op internet verwijst naar jou domein met de SQL injectie.
Google probeerd deze vervolgens te indexeren (wat fout gaat).
Misschien kan je die specifieke url opnemen in je robot.txt?
-
19-09-2009, 16:15 #6
- Berichten
- 604
- Lid sinds
- 16 Jaar
Kun je dat gewoon je IP veranderen?
Volgens mijn logs is het trouwens gedaan op de pagina:
/---/layout/5/jquery-1.html
De streepjes zijn een variabel van alleen cijfers. Daarna komt de pagina, hij verbind hem ongeveer door naar:
pagina.php?id=[eerste invoer]&pagina=layout/5/jquery-1.html
Hierna zou hij de pagina gaan include.
Deze pagina of mappen bestaan niet, wel zitten de mappen 1 map lager dan welke hij opzoekt.
Aanvullend bericht:
@Henry
Dit zou heel goed kunnen, ik kan deze pagina alleen niet in mijn robots.txt zetten omdat het een variabel is...Laatst aangepast door Bas S. : 19-09-2009 om 16:17 Reden: Automatisch samengevoegd.
-
21-09-2009, 22:44 #7
- Berichten
- 223
- Lid sinds
- 15 Jaar
Ik zou echt eerder geloven dat iemand zich voordoet als Google, door z'n useragent/ip te spoofen ofzo.
-
21-09-2009, 23:52 #8
64BitsWebhosting.EU
- Berichten
- 2.085
- Lid sinds
- 18 Jaar
Dat is een hacktaktiekje en wat ze doen is het volgende:
Eerst scannen ze een zooi servers en kijken welke pakketten daarop draaien (joomla, phpbb etc).
Dat is heel gemakkelijk en komt niemand achter.
Daarna maken ze zelf webpagina's met een link naar jouw domein met de specifieke SQL injecties of andere ongein.
Zodra de googlebot die page van de 'hacker' indexeert en de links begint te volgen, zal de googlebot inderdaad een SQL injectie bij je proberen.
Het doel is duidelijk: voor het target is niet te achterhalen 'wie' de injectie probeert en de hacker verspilt zelf 0,0 resources van zijn eigen server omdat ie de googlebots alles laat doen.
Elke geslaagde 'hack' kan ie dagelijks opzoeken met de juiste google query aangezien die page dan gewoon geindexeerd is.
Is al een oudje eigenlijk, maar wel nog steeds erg efficient.
-
22-09-2009, 00:36 #9
- Berichten
- 81
- Lid sinds
- 17 Jaar
Ik denk ook dat iemand gewoon zijn useragent en ip spoofed.. useragent kan heel makkelijk
met bijv. firefox > about:config > naar 'useragent.extra' zoeken en dan de eerste.
Je kan trouwens ook xss invoeren als useragent. Bijvoorbeeld iets als
Code:"><script>alert('xss');</script>
dan naar http://whatsmyuseragent.com/ ;)
Als je je useragent veranderd in die van Googlebot kan je ook in bepaalde fora komen
die alleen toegankelijk zijn voor geregistreerde gebruikers en googlebot. Of van die sites
waar je moet betalen om heel het artikel te lezen.
Volgens mij ga ik een beetje offtopic hier, maar dit kan het ook zijn:
Ik had pas een filmpje van volgens mij Matt Cutts gezien waarin hij vertelde dat Googlebot soms probeerde bepaalde parameters in een url weg te halen en kijken of ze niet overbodig zijn. Misschien dat Googlebot ook een ' invoert en dat dat wordt herkend als een SQL injectie? Heb je toevallig wat meer gegevens over wat er als SQL injectie ingevoerd werd?
-
22-09-2009, 02:45 #10
- Berichten
- 874
- Lid sinds
- 18 Jaar
Ik denk dat het verhaal van John Timmer hoogstwaarschijnlijk de oorzaak het best weergeeft.
-
22-09-2009, 10:16 #11
- Berichten
- 605
- Lid sinds
- 19 Jaar
Dan denk ik dat er iets niet klopt in je scriptje.
-
22-09-2009, 10:24 #12
- Berichten
- 349
- Lid sinds
- 17 Jaar
Niet alleen dat, het verhaal van John Timmer is de manier waarop het gaat. Doe je niets aan, het is enkel zaak ervoor te zorgen dat je scripts veilig zijn. Eventueel, als je snel bent, kun je de link wellicht terugvinden in de Google zoekresultaten en die rapporteren.
-
23-09-2009, 08:22 #13
- Berichten
- 604
- Lid sinds
- 16 Jaar
Ik ga eens proberen een http_referer in mijn scripts te zetten, dan zou ik de URL toch ook moeten kunnen zien?
Ik krijg nu trouwens ook meldingen binnen van meerdere IP adressen, wel allemaal op dezelfde URL.
@John Timmer
Zou het niet ook de bedoeling van de hacker zijn dat ik de scripts nu uitschakel omdat ik denk dat er een fout in zit, of zou het kunnen dat er echt een fout in zit?
-
23-09-2009, 08:40 #14
64BitsWebhosting.EU
- Berichten
- 2.085
- Lid sinds
- 18 Jaar
Ik ga eens proberen een http_referer in mijn scripts te zetten, dan zou ik de URL toch ook moeten kunnen zien?
Ik krijg nu trouwens ook meldingen binnen van meerdere IP adressen, wel allemaal op dezelfde URL.
@John Timmer
Zou het niet ook de bedoeling van de hacker zijn dat ik de scripts nu uitschakel omdat ik denk dat er een fout in zit, of zou het kunnen dat er echt een fout in zit?
Zorgen dat je geen sql injecties mogelijk maakt en geen php errors naar de browser sturen. Buiten rapporteren bij google kun je er verder weinig mee. Eventueel kun je mod_security installeren, suphp, secure php oid. om te zorgen dat de exploit niet uitgevoerd wordt en dat je iets meer info krijgt in de logs,
maar je kunt geen ip gaan blokken aangezien je dan telkens een googlebot blokt.
-
05-10-2009, 19:56 #15
- Berichten
- 277
- Lid sinds
- 17 Jaar
Ik denk dat het een spoof is aangezien je dat in FF zo kunt aanpassen. Je zoekt 2 tellen op het WWW en je weet hoe het moet.
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic