Je host moet dat gewoon oppakken imho..

limit leggen op ip adres in die rotator maar goed dan pakken ze weer een proxy.
Firewall instellingen op port 80 dat ze niet een DoSS kunnen uitvoeren dat soort dingen.
En een betere inlog functie maken, die gegevens in de html zetten is niet echt handig zacht gezegd

Natuurlijk,

Zet er een limiet van 25 per minuut op, denk dat niemand 25 van die dingen wil aanmaken in een minuut, en anders moeten ze maar even wachten.

Met deze code maak je je website heel erg gevoelig voor dDos aanvallen, ik denk dat menig IT-er je server binnen enkele minuten offline kan krijgen.

Er genoeg oplossingen voor, ik zou eerst met sessions gaan werken, en niet de belangrijke data meesturen met een "hidden input".

Ik heb je script voor de rest niet echt doorgespit, na 3 minuten vond ik dit lek maar waarschijnlijk zullen er nog veel meer zijn.

@ Raymond
"Firewall instellingen op port 80 dat ze niet een DoSS kunnen uitvoeren dat soort dingen."

Hoe bedoel je dit, als je deze bijvoorbeeld gaat blokkeren is je site onbereikbaar. Er word gewoon via de browser een request ingediend.

Ok, ik zal even kijken. Maar omdat ik met ajax en javascript werk moet ik wel data in de code zetten. Of kan dit anders? Ik kan het natuurlijk wel later in de code laden, maar dan is dat gedeelte weer onbeveiligd. En deze persoon kan deze code alleen maar zien zodra hij/zij is ingelogd. Het is dus een tweede wachtwoord. Ik ga kijken of ik misschien een limiet kan leggen op die dingen. Maar op de rotator kan ik moeilijk een limiet leggen omdat deze gewoon heel vaak achter elkaar bezocht kan worden door één persoon. Ik kan natuurlijk wel een limiet leggen van 1000 per uur ofzo. Ik zal kijken.
Aanvullend bericht:
Het rare is, is dat de aanvaller in principe niet meer links in de database kon stoppen als dat er url's waren bij het account dat hij bezocht. Hij moest dus wel in een while loop zijn blijven hangen. Want de plaats_id was ook telkens ééntje hoger. Dit is alleen als ik naar mijn code kijk helemaal niet mogelijk.


$max_url = het maximaal aantal url's die de persoon heeft.

PHP Code:

$plaats_id = 0;
while($geweest==""||$plaats_id>$max_url){
$plaats_id++;
$query = "select * from .... where ip='".$ip."' AND .....='".$id van de user."' AND ....='".$id van de rotator."' AND ...='".$plaats_id."';";
$res = mysql_query($query);
$number_rows = mysql_num_rows($res);
if($number_rows==0){$geweest=$plaats_id; mysql_query("INSERT INTO..... (ip, time, ..., ..., ...) VALUES ('".$ip."', '".$now."', '".$....."', '".$....."', '".$geweest."')");}
} 


In de loop kijkt hij of de persoon het afgelopen uur een bepaalde url(plaats) al bezocht heeft. Hij begint bij plaats 1, dan 2, etc...

De loop zou moeten ophouden zodra $geweest een waarde heeft. De plaats was telkens hoger en de time was telkens hetzelfde, dus ik weet bijna zeker dat hij in deze loop zat dan.

met iptables kun je een limit instellen hoe vaak een bepaalde request binnen kan komen gebaseerd op tcp protocol zodat ze de webserver zelf niet DoSSen


W. van Woerden als ik zo de code bekijk dan sluit ik niet direct ook SQL injectie uit

Ok, ik denk me net dat het vast zitten in de while loop ook niet heel logisch is aangezien het volgens mij zo is dat een server maar max 30 seconden ofzo het script uitvoert en dan een timeout geeft. Kan ik trouwens ook de loop laten stoppen met break; in de if?

Denk dat je hele script heel onlogisch is ( sorry ). Ben je aan andere programmeer taal gewent ?

Origineel gepost door Stefan Visser

Denk dat je hele script heel onlogisch is ( sorry ). Ben je aan andere programmeer taal gewent ?

Ik heb er ook even mee gekeken en ben het helaas helemaal met bovenstaande eens...

Origineel gepost door Rick B.

Ik heb er ook even mee gekeken en ben het helaas helemaal met bovenstaande eens...

Dit komt omdat u niet ziet waar dit script voor bedoelt is. Simpel gezegd werkt het zo. Ik heb een database waar rijen met getallen in staan. Geen enkel getal is hetzelfde. Bijv: 1:2:3:4:6:7:8:9:10

Dan is het de bedoeling dat er gekeken wordt wat het allerlaagste mogelijk cijfer is die nog vrij is. Dus groter dan 0. In dit geval dus 5. En dan wordt nummer 5 in de database ingevoegd.

Ik zie niet hoe dit makkelijker zou kunnen.

De aanval was trouwens net weer begonnen met het ip 83.84.83.30 . Dit is weer een ander ip adres, dus ik ga ervan uit dat deze persoon gewoon zijn ip veranderd met een programma. Ik ga kijken of ik snel een soort limiet erin kan bouwen in de loop.
Aanvullend bericht:
Enig idee hoe ik het tegen moet gaan houden als een persoon random ip adressen heeft/gaat gebruiken? Ik heb nu twee aanvallen gehad met 2 totaal verschillende ip adressen.

Om dit soort aanvallen tegen te gaan zou je (zoals eerder ook vermeld) iptables kunnen gebruiken.

# Block hosts with more than 20 simultaneous connections
/sbin/iptables -A INPUT -p tcp --syn -d <WAN IP> --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset

Elk source IP mag tegelijkertijd 20 verbindingen open hebben staan.

Maar dit is voor een VPS of dedicated server neem ik aan? Deze website staat op een shared webhosting pakket, dus ik ga maar eens contact leggen met mijn host denk ik.

Origineel gepost door W. van Woerden

Dan is het de bedoeling dat er gekeken wordt wat het allerlaagste mogelijk cijfer is die nog vrij is. Dus groter dan 0. In dit geval dus 5. En dan wordt nummer 5 in de database ingevoegd.

Ik zie niet hoe dit makkelijker zou kunnen.

Is het niet sneller als je de complete getallen reeks ophaalt en daar doorheen loopt dan 100x die ene query?

Evt. wil ik wel kijken naar je code PM dan maar.