Hoi,

Tot mijn grote verbazing zie ik dat google een poging heeft gedaan om een SQL injectie uit te voeren.

Ik heb namelijk een script gemaakt die SQL injecties blokkeert en mij direct een e-mail stuurt met daarin het IP adres van de hacker en het echte IP adres die dus door een proxy heen kijkt.

Ik krijg deze e-mail:
Mysql Injection
(proxy) IP-Adres: 66.249.71.229
IP-Adres: crawl-66-249-71-229.googlebot.com
Game ID: ---

Normaal gesproken grijp ik na zon e-mail altijd gelijk in door het IP adres te verbannen van mijn site maar ik ben bang dat ik hiermee heel google verban en er dus geen pagina's meer geïndexeerd kunnen worden.
Wat kan ik hieraan doen?

Mvg,
Bas S

Weet je zeker dat het geen bug is in het script. Dat de bot geen injectie heeft
willen uitvoeren maar iets anders gedaan, wat het script opving als aanval?

Ik zal het script even openen en hier posten wat hij tegenhoud, deze houd met name posts als DROP TABLE of andere dingen die je in een query tegenkomt.
Aanvullend bericht:
Het script stop de volgende inputs, posts en gets: mysql, query, ; }, %40, DROPTABLE en TRUNCATE

mischien iemand die zich als google bot gedraagd is gewoon een kwestie van je browser even aanpassen

Origineel gepost door Raymond V

mischien iemand die zich als google bot gedraagd is gewoon een kwestie van je browser even aanpassen

Dat lijkt mij sterk.
Anders is je hostname niet: crawl-66-249-71-229.googlebot.com

Wat ik eerder denk is dat er een pagina ergens op internet verwijst naar jou domein met de SQL injectie.
Google probeerd deze vervolgens te indexeren (wat fout gaat).

Misschien kan je die specifieke url opnemen in je robot.txt?

Kun je dat gewoon je IP veranderen?
Volgens mijn logs is het trouwens gedaan op de pagina:
/---/layout/5/jquery-1.html
De streepjes zijn een variabel van alleen cijfers. Daarna komt de pagina, hij verbind hem ongeveer door naar:
pagina.php?id=[eerste invoer]&pagina=layout/5/jquery-1.html
Hierna zou hij de pagina gaan include.

Deze pagina of mappen bestaan niet, wel zitten de mappen 1 map lager dan welke hij opzoekt.
Aanvullend bericht:
@Henry
Dit zou heel goed kunnen, ik kan deze pagina alleen niet in mijn robots.txt zetten omdat het een variabel is...

Ik zou echt eerder geloven dat iemand zich voordoet als Google, door z'n useragent/ip te spoofen ofzo.

Dat is een hacktaktiekje en wat ze doen is het volgende:

Eerst scannen ze een zooi servers en kijken welke pakketten daarop draaien (joomla, phpbb etc).
Dat is heel gemakkelijk en komt niemand achter.

Daarna maken ze zelf webpagina's met een link naar jouw domein met de specifieke SQL injecties of andere ongein.

Zodra de googlebot die page van de 'hacker' indexeert en de links begint te volgen, zal de googlebot inderdaad een SQL injectie bij je proberen.

Het doel is duidelijk: voor het target is niet te achterhalen 'wie' de injectie probeert en de hacker verspilt zelf 0,0 resources van zijn eigen server omdat ie de googlebots alles laat doen.

Elke geslaagde 'hack' kan ie dagelijks opzoeken met de juiste google query aangezien die page dan gewoon geindexeerd is.

Is al een oudje eigenlijk, maar wel nog steeds erg efficient.

Ik denk ook dat iemand gewoon zijn useragent en ip spoofed.. useragent kan heel makkelijk
met bijv. firefox > about:config > naar 'useragent.extra' zoeken en dan de eerste.

Je kan trouwens ook xss invoeren als useragent. Bijvoorbeeld iets als

Code:

"><script>alert('xss');</script>

Test het bijvoorbeeld maar is en ga
dan naar http://whatsmyuseragent.com/ ;)

Als je je useragent veranderd in die van Googlebot kan je ook in bepaalde fora komen
die alleen toegankelijk zijn voor geregistreerde gebruikers en googlebot. Of van die sites
waar je moet betalen om heel het artikel te lezen.

Volgens mij ga ik een beetje offtopic hier, maar dit kan het ook zijn:

Ik had pas een filmpje van volgens mij Matt Cutts gezien waarin hij vertelde dat Googlebot soms probeerde bepaalde parameters in een url weg te halen en kijken of ze niet overbodig zijn. Misschien dat Googlebot ook een ' invoert en dat dat wordt herkend als een SQL injectie? Heb je toevallig wat meer gegevens over wat er als SQL injectie ingevoerd werd?

Ik denk dat het verhaal van John Timmer hoogstwaarschijnlijk de oorzaak het best weergeeft.

Origineel gepost door Bas S.

Het script stop de volgende inputs, posts en gets: mysql, query, ; }, %40, DROPTABLE en TRUNCATE

Lees je met een ereg o.i.d. uit of die termen voorkomen in een GET of POST?

Origineel gepost door Bas S.

Volgens mijn logs is het trouwens gedaan op de pagina:
/---/layout/5/jquery-1.html

Dan denk ik dat er iets niet klopt in je scriptje.

Origineel gepost door jacob lageveen

Ik denk dat het verhaal van John Timmer hoogstwaarschijnlijk de oorzaak het best weergeeft.

Niet alleen dat, het verhaal van John Timmer is de manier waarop het gaat. Doe je niets aan, het is enkel zaak ervoor te zorgen dat je scripts veilig zijn. Eventueel, als je snel bent, kun je de link wellicht terugvinden in de Google zoekresultaten en die rapporteren.

Ik ga eens proberen een http_referer in mijn scripts te zetten, dan zou ik de URL toch ook moeten kunnen zien?
Ik krijg nu trouwens ook meldingen binnen van meerdere IP adressen, wel allemaal op dezelfde URL.

@John Timmer
Zou het niet ook de bedoeling van de hacker zijn dat ik de scripts nu uitschakel omdat ik denk dat er een fout in zit, of zou het kunnen dat er echt een fout in zit?

Origineel gepost door Bas S.

Ik ga eens proberen een http_referer in mijn scripts te zetten, dan zou ik de URL toch ook moeten kunnen zien?
Ik krijg nu trouwens ook meldingen binnen van meerdere IP adressen, wel allemaal op dezelfde URL.

@John Timmer
Zou het niet ook de bedoeling van de hacker zijn dat ik de scripts nu uitschakel omdat ik denk dat er een fout in zit, of zou het kunnen dat er echt een fout in zit?

Een fout kan altijd ergens in zitten maar meestal zijn dit soort dingen niet persoonlijk of tegen de site gericht.
Zorgen dat je geen sql injecties mogelijk maakt en geen php errors naar de browser sturen. Buiten rapporteren bij google kun je er verder weinig mee. Eventueel kun je mod_security installeren, suphp, secure php oid. om te zorgen dat de exploit niet uitgevoerd wordt en dat je iets meer info krijgt in de logs,
maar je kunt geen ip gaan blokken aangezien je dan telkens een googlebot blokt.

Ik denk dat het een spoof is aangezien je dat in FF zo kunt aanpassen. Je zoekt 2 tellen op het WWW en je weet hoe het moet.