Inconvénients d'un faux pot de miel phpMyAdmin qui provoque la liste noire des adresses IP et le rejet du fichier robots.txt / exclusion du pot de miel?
J'essaie de comprendre si je devrais mettre en place un système de pot de miel avec un faux phpMyAdmin (le site se heurte tout le temps à des personnes qui spideraient pour des insécurités avec cette application).
Mon idée était de créer un script php bon marché qui imiterait un identifiant de connexion phpMyAdmin, puis de mettre en liste noire les ips frappant cette URL (et qui ne figurent pas déjà dans la liste blanche). J'ajouterais ensuite les URL appropriées au fichier robots.txt afin que les araignées qui respectent mon fichier robots.txt ne soient pas prises au piège de la liste noire.
Y a-t-il des inconvénients à cette approche, les robots légitimes ne respectent-ils parfois pas le fichier robots.txt dans certaines circonstances, y a-t-il des problèmes que je devrais examiner à l'avance?
Y a-t-il des inconvénients à cette approche?
Oui. Une partie malveillante pourrait utiliser une adresse IP proxy. Vous pourriez vous retrouver sur une liste noire d'utilisateurs légitimes avec la même adresse IP et un utilisateur malveillant pourrait simplement modifier son IP s'il se trouvait sur une liste noire.
Robots.txt est un protocole de conseil; personne n'a à le suivre, contrairement à plusieurs araignées (par exemple, celles utilisées par les archivistes sur Internet comme le équipe d'archives .)
En tant que tel, vous voudrez peut-être envisager de mettre en liste blanche les adresses IP qui accéderont à votre véritable zone phpMyAdmin et en excluant toutes les autres, plutôt que d'inscrire en liste noire tous ceux qui ont frappé votre pot de miel. Le moyen le plus simple de procéder si vous avez accès au répertoire phpMyAdmin consiste à inclure un fichier .htaccess avec les règles suivantes:
order deny,allow
deny from all
# allow my home IP address
allow from XX.XX.XXX.XXX
# allow my work IP address
allow from XX.XX.XXX.XXX
Le désavantage évident de la liste noire est de bloquer les utilisateurs valides partageant NAT avec les machines que vous souhaitez mettre sur la liste noire (pensez: les grandes entreprises avec VPN et seulement quelques adresses IP externes ou universités avec des configurations similaires, peut-être même certains FAI).
Dans le cas particulier de vers, comme celui essayant de se propager via des bogues dans phpMyAdmin, cela signifierait que vous placez une liste noire des machines infectées. Ils resteraient sur la liste noire même après avoir été nettoyés à l'aide d'un logiciel anti-virus. Ce n'est pas non plus ce que vous voulez.