Webwinkel Forum

De laatste tijd kom ik rare zoekwoorden tegen in de 'last 5 search terms' en het 'search terms' rapport. We blocken de ip's die deze searches uitvoeren op server niveau maar het lijkt weinig uit te maken. Dit soort zoektermen komen dan gewoon via andere ip's weer binnen.

Via google kom ik ook niet veel verder, vandaar dat ik mijn vraag hier nu stel.



Nog een paar voorbeelden:
Heeft iemand misschien een idee wat hier achter kan zitten?

Vast bedankt!

De meeste van die woorden komen uit de databasetaal SQL.
Iemand probeert je site te hacken met SQL-injectie.

Gooi alle gebruikte IP-adressen direct op een blacklist.

Ha Ward,

dank je voor je bericht, was daar zelf ook al bang voor. De ip's gooien we steeds meteen op onze blacklist, daar staan er nu al iets van 40 a 50 op.. dat lijkt niet veel te helpen.

Ik zocht naar een manier om searches die een bepaald keyword bevatten om te leiden naar een cms pagina, maar zo'n extentie kan ik niet vinden. Andere suggesties misschien om hier mee om te gaan?

Kun je ook ranges van IP's blocken? Meestal is dat inderdaad onbegonnen werk. Het is bijna makkelijker om de zoekopdracht onmogelijk te maken inderdaad. Welke zoekfunctie gebruik je? Gewoon standaard Magento functionaliteit?

Het is inderdaad onbegonnen werk, steeds als we een heel blok blokkeren duurt het misschien een dag voordat het vanuit een heel andere range het weer opnieuw begint.

De queries worden ook steeds ingewikkelder en ik zie nu ook voor het eerst tekst als "MD5" langskomen.. wat me toch wat zorgen baart.

Gebruik inderdaad de standaard Magento search en overweeg nu om een ontwikkelaar een extentie te laten maken zodat we woorden kunnen blacklisten: dat elke keer dat zo'n woord in een search string voorkomt de search niet uitgevoerd wordt maar rechtstreeks een cms pagina wordt aangeroepen.

Mocht iemand een extentie weten die dit onder andere al doet dan hoor ik het natuurlijk ontzettend graag!

Dirkjan schreef:Het is bijna makkelijker om de zoekopdracht onmogelijk te maken inderdaad.

Goed punt. Vergelijk deze commando's maar eens met echte zoekopdrachten: ze zijn opvallend lang. Normale gebruikers zoeken met een, twee of hooguit drie woorden. Je kunt dus een PHP-dingetje schrijven dat te lange strings weigert of woorden telt en niet meer dan 3 woorden accepteert.

Houd er wél terdege rekening mee dat niet alleen het zoeksysteem gevoelig kan zijn voor SQL-injectie: élke variabele die in een URL, formulier of cookie wordt doorgegeven, is potentieel gevaarlijk.

Laat me raden... als je in je serverlogs kijkt, zie je veel meer probeersels.

Ha Ward,

ik heb wat gezocht naar onze serverlogs maar deze staan niet allemaal aan. Nu weet ik inmiddels wel hoe ik ze aan moet zetten. Weet alleen nog niet welke logs, iemand een suggestie? Kan uit onderstaande kiezen namelijk..



Vast bedankt!

In de Apache Access Log vind je alle requests. Na GET of POST volgt de opgevraagde URL waarin je dan (waarschijnlijk) de SQL-injecties kunt terugvinden. De log noemt ook de gebruikte IP-adressen.

Dank je!

Dit is inderdaad SQL-injection. Levensgevaarlijk voor je data(-base).
Tegenhouden is moeilijk.

Info:
MD5 is het commando om de parameter die meegegeven wordt, naar een gecodeerde versie om te zetten. Wachtwoorden worden vaak MD5-encrypted.
1=1: Dit is een veel voorkomende truc bij SQL-injection. Hiermee geef je een vergelijking mee in de 'database-opdracht' waardoor de uitkomst altijd 'waar' is.

Maatregelen:
- IP blocks
- searchstrings niet toestaan om namen van tabelvelden uit de database gebruiken (tot zover mogelijk)
- PDO database-connecties maken, in plaats van authentieke SQL opvragingen. Zie PHP Manual.

Zeker de laatste maatregel vereist aanzienlijke technische kennis en ik kan het volledig begrijpen indien dat een probleem gaat worden.