cisec : détecte et bannit les scanners de vulnérabilités - commentaires

cisec : détecte et bannit les scanners de vulnérabilités

Dans paquet.xml, la ligne ci-dessous signifie que CISEC nécessite une version de SPIP supérieure ou égale à 3.0.0.

compatibilite="[3.0.0;]"

Pour en savoir plus : https://plugins.spip.net/redaction-du-paquet-xml.html , chapitre « Compatibilite »

cisec : détecte et bannit les scanners de vulnérabilités

Hello,
je l'utilise déjà depuis la sortie de spip 4.2.6

toutefois mon paquet.xml m'indique
compatibilite="[3.0.0;]"

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,
CISEC regarde si une URL demandée contient page=recherche&page=recherche.
Lorsqu'on renseigne page=recherche&page=recherche dans le formulaire de recherche, l'URL demandée se termine par recherche=page%3Drecherche%26page%3Drecherche car elle est encodée (par la fonction urlencode de PHP).
Aussi, il est normal que CISEC ne la détecte pas.
Si on souhaite que CISEC détecte recherche=page%3Drecherche%26page%3Drecherche il convient de définir la constante _CISEC_PARTIES_URL_SUSPECTES avec les contenus souhaités (séparés par le caractère pipe) dans un fichier d'options (mes_options.php ou le fichier d'options d'un autre plugin).

cisec : détecte et bannit les scanners de vulnérabilités

Et bien :

Encore à l'instant, si dans le formulaire de recherche du site, je saisis « page=recherche&page=recherche », le site affiche le résultat de la recherche.

Mais quand je saisis l'url mon site/test.ph ?page=recherche&page=recherche, cela m'affiche le décompte du banissement.

cisec : détecte et bannit les scanners de vulnérabilités

Qu'est-ce qui a été modifié pour passer du premier résultat cité :
« Dès l'étape a, ça ne fonctionne pas :
Après saisie de la recherche (page=recherche&page=recherche), la page des résultats de la recherche s'affiche ».

au second résultat cité :
« Le résultat est :
- banissement de 30 secondes »

cisec : détecte et bannit les scanners de vulnérabilités

Le résultat est :
- banissement de 30 secondes
- après récidive : page blanche
- rafraîchissement de la page (F5) : affichage du banissement 3 minutes
- après récidive : page blanche
- rafraîchissement de la page (F5) : affichage du banissement 3 minutes

Mais toujours pas de mail signalant le banissement.

cisec : détecte et bannit les scanners de vulnérabilités

Pour le point 2, il convient d'appeler dans le navigateur l'URL : adresse_du_site/test.php ?page=recherche&page=recherche

cisec : détecte et bannit les scanners de vulnérabilités

Pour :
1) Je n'ai redéfini la constante _CISEC_PARTIES_URL_SUSPECTES nulle part.

2) Avec appel du fichier test.php, je n'ai pas « page=recherche&page=recherche ? » dans REQUEST_URI :
Seulement : 'REQUEST_URI' => '/test.php'

3) La version de PHP est la 8.2.7

cisec : détecte et bannit les scanners de vulnérabilités

Je n'arrive pas à reproduire le problème.
1) Est-ce que la constante _CISEC_PARTIES_URL_SUSPECTES a été définie dans un fichier d'options (mes_options.php ou le fichier d'options d'un autre plugin) ?
2) Créer un fichier test.php, à la racine du site, avec le contenu suivant :

Appeler ensuite dans le navigateur l'URL adresse_du_site/test.php et regarder la valeur de REQUEST_URI. Est-ce qu'elle comprend page=recherche&page=recherche ?
3) Quelle est la version de PHP utilisée ?

cisec : détecte et bannit les scanners de vulnérabilités

Dès l'étape a, ça ne fonctionne pas :
Après saisie de la recherche (page=recherche&page=recherche), la page des résultats de la recherche s'affiche.

cisec : détecte et bannit les scanners de vulnérabilités

Est-il possible d'effectuer exactement le test précité (points a, b et c) puis de regarder s'il y a un fichier cisec_mail.log ?

cisec : détecte et bannit les scanners de vulnérabilités

Alors :

En dehors de Cisec, je n'ai aucun pb pour l'envoi de mails.

Dans les logs de spip, je ne vois rien de particulier.

Le serveur est un Nginx dont je ne suis pas administrateur.

Dans les logs de Cisec je n'ai pas de cisec_mail.log...
J'ai cisec_post.log ; cisec_detail.log ; cisec_bannir.log

cisec : détecte et bannit les scanners de vulnérabilités

Je viens d'effectuer le test suivant :
a) Partie d'URL suspecte (page=recherche&page=recherche) => bannissement
b) Attente de la fin du bannissement puis partie d'URL suspecte (page=recherche&page=recherche) => nouveau bannissement
c) Attente de la fin du bannissement puis partie d'URL suspecte (page=recherche&page=recherche) => nouveau bannissement

Il y a bien une trace, du déclenchement de l'envoi de mail par CISEC, dans le fichier de log cisec_mail.log.

Remarques :
- L'envoi de mail a lieu en cas de récidive.
- Il y a au plus un mail par tranche de 1 heure pour une même adresse IP pour éviter de saturer la boite aux lettre du webmestre.

cisec : détecte et bannit les scanners de vulnérabilités

Est-ce qu'il y a des informations intéressantes :
- dans les logs de SPIP ?
- dans le log d'erreur d'Apache ?

cisec : détecte et bannit les scanners de vulnérabilités

Est-ce que, en dehors du plugin CISEC, l'envoi de mail fonctionne sur le site ?

cisec : détecte et bannit les scanners de vulnérabilités

Sur un site passé en Spip 4.2, en changeant les bornes de compatibilité, les log de cisec montrent l'activité du plugin.
Par contre, je ne reçois plus aucun mél « Bannissement temporaire de l'adresse IP www.xxx.yyy.zzz (Partie d'URL suspecte page=recherche&page=recherche) ».
Mais il se peut que ce soit en lien avec un réglage serveur qui a changé.

Merci

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,
Si vous rencontrez un problème avec CISEC sous SPIP 4.2, il convient de me le signaler et je modifierais CISEC.

cisec : détecte et bannit les scanners de vulnérabilités

Bonsoir
J'avais posté un message ici en début d'été (?), mais il a dû rester coincé en modération.
La question était, et reste celle d'une compatibilité future de Cisec avec Spip 4.2 ?

Merci

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour
J'utilise avec bonheur ce plugin.
Est-ce qu'une version pour Spip 4.2.3 et php 8.2 est envisagée ?

Merci

cisec : détecte et bannit les scanners de vulnérabilités

c'est corrigé pour la partie bug d'affichage.

Quand à la politique de distribution du plugin, je laisse son responsable répondre. Mais qu'il sache qu'on peut tout à fait distribuer un plugin via le système d'install de spip tout en le laissant dans son coin de dev : il faut juste qu'on ai accès en lecture à un son dépôt git

cisec : détecte et bannit les scanners de vulnérabilités

Il y a visiblement un bug quelque part dans le squelette de contrib. Je regarderai cet après midi

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,
Je cherchais ce plugin pour l'ajouter à un site. Apparemment il faut venir chercher le fichier https://contrib.spip.net/IMG/zip/cisec_180709.zip à la main

(pourquoi le code source mentionné est-il https://git.spip.net/spip-contrib-extensions/formidable_fusion.git ?)

cisec : détecte et bannit les scanners de vulnérabilités

OK merci. Je ne sais pas d'où sort cet *. Peut-être une erreur de frappe.

cisec : détecte et bannit les scanners de vulnérabilités

Les caractères autorisés pour la variable « lang » sont les lettres de l'alphabet et le caractère souligné.

Le caractère étoile « * » n'est pas autorisé, aussi l'écran de sécurité de SPIP le remplace par un espace. Le plugin CISEC détecte qu'il y a un espace et déclenche la procédure de bannissement.

cisec : détecte et bannit les scanners de vulnérabilités

2020-01-13 17:32:05 | 2a01:e0a:2fb:e2e0:d81:ef5000000000 (pid 51560) | Tentative d'injection sur lang | REQUEST_URI : / ?lang=fr*

(je me bats avec un site multilingue)

merci

cisec : détecte et bannit les scanners de vulnérabilités

Dans le fichier tmp/log/cisec_detail.log quelle cause (du bannissement) est indiquée ?

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,
Y-a-t-il moyen de mettre une liste d'IP en liste blanche ? Ou de ne pas appliquer le scan pour les auteurs connectés ?
Je suis webmestre et au bout de quelques actions mon adresse IP est bloquée.
merci

cisec : détecte et bannit les scanners de vulnérabilités

Le plugin CISEC lutte contre les scanners de vulnérabilité.
Le plugin Referer Spam lutte contre le referer spam, ce qui est totalement différent.

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,

Pourriez-vous me dire les différences ou complémentarité avec Referer Spam ?

Merci par avance

cisec : détecte et bannit les scanners de vulnérabilités

C'est dommage de ne pas avoir d'indication d'une mise à jour de ce plugin sur la page d'admin des plugins / ?exec=admin_plugin

cisec : détecte et bannit les scanners de vulnérabilités

Je pense que les fonctionnalités du plugin CISEC devraient figurer dans SPIP (par exemple dans l'écran de sécurité).

cisec : détecte et bannit les scanners de vulnérabilités

Depuis l'installation du plugin, il me semble détecter une hausse des connexions à mon site.

Est-il possible que certains acharnés (disons plutôt systèmes de scanners de vulnérabilités évolués) changent à la volée d'ip une fois bloqués pour continuer leur scan, ce qui donne pour SPIP un gonflement artificiel des visites ?

cisec : détecte et bannit les scanners de vulnérabilités

@ Pierre Kuhn : l 'auteur met à la disposition de la communauté des plugins de grande qualité. Qu'il décide de les mettre ou non sur la zone, cela reste son choix. Tu as le droit d'en penser ce que tu veux mais pour ma part je me réjouis avant tout d'avoir la chance de pouvoir en disposer (et, puis, rien n'empêche l'utilisateur d'y apporter les modifications/ajustements qu'il a envie d'y faire pour l'adapter son propre usage).

Il faut éviter ce type de plugins.

me parait donc bien déplacé... et pas vraiment dans l'esprit d'entraide et de bienveillance que chacun souhaite pour notre brave polatouche ;-)

cisec : détecte et bannit les scanners de vulnérabilités

@Pierre Khun :

Tu le verras jamais sur la zone car il a peur qu'on l'améliore sans lui.

Qu'en sais-tu ? Comment peux-tu affirmer ça ? Cela n'a rien à voir avec « la peur qu'on améliore sans lui ». Ça n'est certainement pas en trollant que tu feras avancer le sujet.

cisec : détecte et bannit les scanners de vulnérabilités

Tu l'a via le chargeur auto de SPIP mais quand tu fais que tu svn, tu peux pas le prendre, donc c'est dommage.

cisec : détecte et bannit les scanners de vulnérabilités

Désolé, mais je ne vois pas pourquoi.

Si le plugin est bien conçu, me convient, et qu'il n'y a pas mieux à disposition, le seul inconvénient à court terme est de ne pas être averti des mises à jour.

cisec : détecte et bannit les scanners de vulnérabilités

Tu le verras jamais sur la zone car il a peur qu'on l'améliore sans lui.
Il faut éviter ce type de plugins.

cisec : détecte et bannit les scanners de vulnérabilités

Toute modification d'un plugin est susceptible d'impacter sa fiabilité, sa sécurité, ses performances, etc.

Les plugins Giseh (le plugin CIPR en fait partie) ont fait l'objet :
- d'une batterie de tests pour s'assurer de leur fiabilité,
- de tests d'intrusion (pour l'aspect sécurité),
- de tests de charge (pour l'aspect performance),
- etc.

C'est pour ces raisons que les plugins Giseh ne sont volontairement pas sur la zone et ne doivent pas l'être.

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,
Je découvre ce plugin suite à l'installation de cibloc.
Encore une production très intéressante, merci (déjà des bannissements, en quelques heures seulement).
Est-il prévu de déposer cette série de plugins sur la zone ?

cisec : détecte et bannit les scanners de vulnérabilités

mouais, ou bien il faudrait que cisce indique qu'il « utilise » timezone. A priori il n'y a pas non plus de masse de plugins qui sont impactés par ces questions de timezone.

cisec : détecte et bannit les scanners de vulnérabilités

OK donc il faut que je désinstalle le plugin timezone et modifie mon fichier mes_options

cisec : détecte et bannit les scanners de vulnérabilités

Pour le bon fonctionnement de SPIP, il convient d'indiquer le paramètre « timezone » dans le fichier config/mes_options.php, par exemple : date_default_timezone_set('Europe/Paris') ;

Remarque : Le plugin Timezone peut rester sans effet sur un autre plugin qui est chargé (par SPIP) avant lui.

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,

En modifiant la borne en compatibilite=« [3.0.0 ;3.2.*] » dans le fichier paquet.xml, ce plugin est compatible SPIP 3.2.

Par ailleurs ce plugin ne prend apparemment pas en compte le paramètre « timezone » du plugin https://contrib.spip.net/Timezone-4591

[23-Nov-2017 10:09:31 UTC] PHP Warning : date() : It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone. in /home/dd/public_html/site.fr/plugins/auto/cisec_160413/cisec_options.php on line 83

merci

cisec : détecte et bannit les scanners de vulnérabilités

Hello,

Non le site n'est pas derrière un reverse proxy. Je ne reproduis plus le message de bannissement, si cela se reproduit je reposterai ici.
Merci d'avoir testé.

cisec : détecte et bannit les scanners de vulnérabilités

Je viens de faire les tests suivants (sous SPIP 3.0 avec le plugin CISEC activé ) :
- recalcul régulier d'un article du site en étant authentifié
- recalcul régulier d'un article du site sans être authentifié
- recalcul régulier d'un article, avec le formulaire pour déposer un commentaire, en étant authentifié
- recalcul régulier d'un article, avec le formulaire pour déposer un commentaire, sans être authentifié

Mon adresse IP n'a jamais été bannie.

Est-ce que le site est situé derrière un reverse proxy ?

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,

Est-il possible d'indiquer une adresse IP à ignorer ?
Je faisais des tests sur un site et donc recalculais régulièrement une page du site et à chaque recalcul mon IP adresse est bannie.
Merci

cisec : détecte et bannit les scanners de vulnérabilités

A noter que le plugin facteur, cité par Maïeul, utilise cette seconde approche qui consiste à surcharger le fichier ecrire/inc/envoyer_mails.php.

cisec : détecte et bannit les scanners de vulnérabilités

Pour surcharger l'envoi de mails, une autre approche consiste à surcharger le fichier ecrire/inc/envoyer_mails.php (qui est chargé uniquement lorsque l'on a besoin d'envoyer un mail).

L'inconvénient est que cette approche est plus sensible aux évolutions de SPIP. En effet, il faut prendre en compte les évolutions des 3 autres fonctions contenues dans ecrire/inc/envoyer_mails.php.

L'avantage est que cette approche est meilleure en termes de performance. En effet, comme l'indique la documentation de SPIP : « Tous les fichiers d'options (celui du site, puis de tous les plugins) sont chargés à chaque appel de l'espace public et de l'espace privé ; ils doivent donc être les plus légers et économes possible. »

cisec : détecte et bannit les scanners de vulnérabilités

ne serait-il pas plus pertinent d'utiliser le plugin facteur ? et si vous ne passez pas par un smtp, il serait bon d'ouvrir un ticket (https://core.spip.net/projects/spip/issues) expliquant en quoi la surcharge permet de contourner une limite de spip, pour que cela soit intégré en natif dans SPIP.

cisec : détecte et bannit les scanners de vulnérabilités

Dans le cas précité, il convient de surcharger la fonction inc_envoyer_mail_dist de SPIP dans le fichier config/mes_options.php (au lieu du fichier d'options du plugin que vous avez réalisé).

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,
Mon hébergement ne permet pas à SPIP d'envoyer des mails, aussi je surcharge la fonction inc_envoyer_mail_dist de SPIP dans le fichier d'options d'un plugin que j'ai réalisé. Avec cette surcharge, SPIP arrive à envoyer des mails.
Le problème c'est que les mails envoyés par le plugin CISEC ne partent pas.

cisec : détecte et bannit les scanners de vulnérabilités

Pour pallier au cas où la modification du fichier config/mes_options.php poserait de réels problèmes, je viens de joindre, à la présente page, la version 1.1.0 du plugin CISEC, qui tient compte du cas où la ligne précitée ne figure pas dans le fichier config/mes_options.php.
Pour plus de détails, se reporter au nouveau chapitre 4.3 de la documentation.

cisec : détecte et bannit les scanners de vulnérabilités

Une précision :
Pour contourner ce problème, la solution, qui est très simple, consiste à mettre dans le fichier config/mes_options.php la ligne suivante :
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'] ;

cisec : détecte et bannit les scanners de vulnérabilités

Dans le cas où l'on utilise un reverse proxy et que l'on peut ajouter des modules à Apache, il peut être intéressant d'examiner les modules mod_rpaf (apache v2.2) et mod_remoteip (apache v2.4+).

Pour en savoir plus : https://github.com/spip/SPIP/pull/13

cisec : détecte et bannit les scanners de vulnérabilités

La version 1.0.1 du plugin CISEC, qui figure dans la présente page (cisec_161010.zip), donne un nom complet à ce fichier (dans le cas d'un POST suspect dans un formulaire).

cisec : détecte et bannit les scanners de vulnérabilités

Dans le cas d'un POST suspect dans un formulaire, le plugin CISEC enregistre les logs dans un fichier sans nom (uniquement « .log »).

cisec : détecte et bannit les scanners de vulnérabilités

SPIP utilise le contenu de la variable $ip, par exemple lors du dépôt d'un commentaire. Aussi, même si le site ne dispose pas du plugin CISEC, il est indispensable d'adapter SPIP à la présence du reverse proxy (cf. solution précitée).

cisec : détecte et bannit les scanners de vulnérabilités

Le plugin CISEC utilise l'adresse IP qui est stockée dans la variable $ip de SPIP.

SPIP initialise la variable $ip avec le contenu de 'REMOTE_ADDR' s'il existe, sinon avec le contenu de 'HTTP_X_FORWARDED_FOR'.

Si un reverse proxy est utilisé par l'hébergement, il est possible que l'adresse IP de l'utilisateur figure dans 'HTTP_X_FORWARDED_FOR' et que celle du proxy figure dans 'REMOTE_ADDR'.

Pour contourner ce problème, la solution, qui est très simple, consiste à mettre dans un fichier d'option propre à l'hébergeur (par exemple le fichier mes_options) la ligne suivante :
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'] ;

cisec : détecte et bannit les scanners de vulnérabilités

Lorsque CISEC bannit une adresse IP, il bannit celle du reverse proxy.

cisec : détecte et bannit les scanners de vulnérabilités

Bonsoir et merci de ta réponse. J'aurais pu y penser..

Je viens de voir un log cisec_log.txt : c'est marrant il a enregistré ma propre adresse IP.

cisec : détecte et bannit les scanners de vulnérabilités

Les fichiers de logs sont dans le sous dossier 'log' du dossier 'tmp' à la racine de SPIP.

cisec : détecte et bannit les scanners de vulnérabilités

Bonjour,

Dans la doc il est question des fichiers de log :
cisec_bannir.log
cisec_detail.log
cisec_mail.log
cisec_post.log

Je ne les trouve pas dans le répertoire du plugin sur mon site.
Sinon comment peut-on voir si des scanners de vulnérabilités ont été détectés ?

Merci