Si possible sans emmerder l’utilisateur et dépendre d’un système tiers

Il y a https://www.signal-spam.fr/ (recommandé par le ministère de l'intérieur) qui a des plugins tout faits pour les clients de messagerie principaux et même les navigateurs internet. Ça fonctionne plutôt bien.

If you have ever hosted a website or even administrated a server you'll be very well aware of bad people trying bad things with your stuff.

When I first hosted my own little linux box with SSH access at age 13 I read through the logs daily and report the IPs (mostly from China and Russia) who tried to connect to my sweet little box (which was actually an old ThinkPad T21 with a broken display running under my bed) to their ISPs.

Actually if you have a linux server with SSH exposed you can see how many connection attempts are made every day:

    grep 'authentication failures' /var/log/auth.log

Hundreds of failed login attempts even though this server has disabled password authentication and runs on a non-standard port

Wordpress has doomed us all

Ok to be honest, web vulnerability scanners have existed before Wordpress but since WP is so widely deployed most web vuln scanners include scans for some misconfigured wp-admin folders or unpatched plugins.

So if a small, new hacking group wants to gain some hot cred they'll download one of these scanner things and start testing against many websites in hopes of gaining access to a site and defacing it.

Sample of a log file during a scan using the tool Nikto

This is why all server or website admins have to deal with gigabytes of logs full with scanning attempts. So I was wondering..

Is there a way to strike back?

After going through some potential implementations with IDS or Fail2ban I remembered the old ZIP bombs from the old days.

WTH is a ZIP bomb?

So it turns out ZIP compression is really good with repetitive data so if you have a really huge text file which consists of repetitive data like all zeroes, it will compress it really good. Like REALLY good.

As 42.zip shows us it can compress a 4.5 peta byte (4.500.000 giga bytes) file down to 42 kilo bytes. When you try to actually look at the content (extract or decompress it) then you'll most likely run out of disk space or RAM.

How can I ZIP bomb a vuln scanner?

Sadly, web browsers don't understand ZIP, but they do understand GZIP.

So firstly we'll have to create the 10 giga byte GZIP file filled with zeroes. We could make multiple compressions but let's keep it simple for now.

Creating the bomb and checking its size

    dd if=/dev/zero bs=1M count=10240 | gzip > 10G.gzip

And for checking file size

    du -sh 10G.zip

As you can see it's 10 MB large. We could do better but good enough for now.

Now that we have created this thing, let's set up a PHP script that will deliver it to a client.

    <?php
    //prepare the client to recieve GZIP data. This will not be suspicious
    //since most web servers use GZIP by default
   header("Content-Encoding: gzip");
   header("Content-Length: ".filesize('10G.gzip'));
   //Turn off output buffering
   if (ob_get_level()) ob_end_clean();
   //send the gzipped file to the client
   readfile('10G.gzip');

That's it!

So we could use this as a simple defense like this:

    <?php
    $agent = filter_input(INPUT_SERVER, 'HTTP_USER_AGENT');

    //check for nikto, sql map or "bad" subfolders which only exist on wordpress
    if (strpos($agent, 'nikto') !== false || strpos($agent, 'sqlmap') !== false || startswith($url,'wp-') || startswith($url,'wordpress') || startswith($url,'wp/'))
    {
          sendBomb();
          exit();
    }

    function sendBomb(){
            //prepare the client to recieve GZIP data. This will not be suspicious
            //since most web servers use GZIP by default
            header("Content-Encoding: gzip");
            header("Content-Length: ".filesize('10G.gzip'));
            //Turn off output buffering
            if (ob_get_level()) ob_end_clean();
            //send the gzipped file to the client
            readfile('10G.gzip');
    }

    function startsWith($a, $b) { 
        return strpos($a, $b) === 0;
   }

This script obviously is not - as we say in Austria - the yellow of the egg, but it can defend from script kiddies I mentioned earlier who have no idea that all these tools have parameters to change the user agent.

Sooo. What happens when the script is called?

(if you have tested it with other devices/browsers/scripts, please let me know and I'll add it here)

Voici ce que je viens de recevoir ce matin.
J'ai mis le code source du mail pour que vous ayez le maximum d'informations et des commentaires entre parenthèses.

{codeFrom - Wed Jul 08 10:20:22 2015
X-Account-Key: account1
X-UIDL: 1436293940.25813.mail450.ha.ovh.net,S=2215
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: freemobile@free-mobile.fr
Delivered-To: xxxxxxx@xxxxxxxx (<-- MON ADRESSE PRO QUE JE N'AI PAS COMMUNIQUÉ À FREE)
Received: from localhost (HELO queue) (127.0.0.1)
by localhost with SMTP; 7 Jul 2015 20:32:20 +0200
Received: from mx-server01.syncadvice.de (109.239.60.31)
by mx3.ovh.net with SMTP; 7 Jul 2015 20:32:19 +0200
Received: from localhost (localhost.localdomain [127.0.0.1])
by mx-server01.syncadvice.de (Postfix) with ESMTP id B0F84C9825
for xxxxxxx@xxxxxxxx; Tue, 7 Jul 2015 20:32:19 +0200 (CEST)
X-Virus-Scanned: amavisd-new at syncadvice.de
Received: from mx-server01.syncadvice.de ([127.0.0.1])
by localhost (mx-server01.syncadvice.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id ijSxszyecGQz for xxxxxxx@xxxxxxxx;
Tue, 7 Jul 2015 20:32:18 +0200 (CEST)
Received: from free-mobile.fr (unknown [191.236.88.93])
by mx-server01.syncadvice.de (Postfix) with ESMTPSA id 47BA1C97CD
for xxxxxxx@xxxxxxxx; Tue, 7 Jul 2015 20:32:08 +0200 (CEST)
From: "Free Mobile" freemobile@free-mobile.fr
To: xxxxxxx@xxxxxxxx
Subject: Facture mobile du 09-06-2015
Date: 07 Jul 2015 20:32:07 +0200
Message-ID: 20150707203207.32F1E00A1F64847D@free-mobile.fr
MIME-Version: 1.0
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Ovh-Tracer-Id: 1959910264524392224
X-Ovh-Remote: 109.239.60.31 (mx-server01.syncadvice.de)
X-Ovh-Local: 213.186.33.73 (mx3.ovh.net)

Cher ( e ) abonn=C3=A9 ( e ), xxxxxxx (<-- ICI LE DÉBUT DE MON ADRESSE MAIL PRO)

Veuillez trouver en pi=C3=A8ce jointe votre facture mobile impay=C3=A9e du=
=20=20
09/06/2015, d'un montant de 2.66=E2=82=AC

Nous allons prochainement basculer l'envoi des ordres de=20
pr=C3=A9l=C3=A8vement de vos factures Free au nouveau format de carte=20
bancaire. (<-- AH BON ??? IL Y A UN NOUVEAU FORMAT DE CARTE BANCAIRE ???)

Vous avez une d=C3=A9marche =C3=A0 accomplir cliquez sur le lien intitul=C3=
=A9=20
Pour r=C3=A9gler votre impay=C3=A9,

http: // mobiles.free.moncomptes.mobi/

Sinc=C3=A8res salutations.=20
L'=C3=A9quipe Free!=20
--=20
Free Mobile - SAS au capital de 365.138.779 Euros - RCS PARIS 499=20
247 138 -=20
Si=C3=A8ge social : 16 rue de la Ville l'Ev=C3=AAque 75008 Paris

6/29/2015 4:09:24 a.m.

cette email pour : xxxxxxx@xxxxxxxx (<-- AVEC UNE MAGNIFIQUE FAUTE EN PRIME)

7/7/2015 8:32:07 p.m.code}

Ce qui donne :

Cher ( e ) abonné ( e ), xxxxxxxx

Veuillez trouver en pièce jointe votre facture mobile impayée du
09/06/2015, d'un montant de 2.66€

Nous allons prochainement basculer l'envoi des ordres de
prélèvement de vos factures Free au nouveau format de carte
bancaire.

Vous avez une démarche à accomplir cliquez sur le lien intitulé
Pour régler votre impayé,

http : // mobiles.free.moncomptes.mobi/ (<-- J'AI MODIFIÉ LE LIEN POUR QU'IL NE SOIT PAS CLIQUABLE. NOTEZ LE "moncompteS")

Sincères salutations.
L'équipe Free!
--
Free Mobile - SAS au capital de 365.138.779 Euros - RCS PARIS 499
247 138 -
Siège social : 16 rue de la Ville l'Evêque 75008 Paris

6/29/2015 4:09:24 a.m.

cette email pour : xxxxxxx@xxxxxxxx

7/7/2015 8:32:07 p.m.

J'ai reçu ça sur mon site et franchement, je ne comprends pas l'intérêt. Ils ont vraiment que ça à foutre...

Nouveau commentaire de cigarette électronique

La majorité des cigarettes électroniques trompe nouvellement encaissé comme réputation souvent. Pour les personnes qui pas se trouvent pas aussi parfaitement représentés, le qui deumeure des cigarettes électronique, et quels est répercussion secret, devrait occasionner de fait les éclaircissements principaux. Lorsque inhalant touchant à l'air sur le plan représentant touchant à nicotine orient activé automatiquement.Une campagne meilleur relatives l'atomiseur, beaucoup plus celui-là commerce un peu de arôme chez lameilleure solution accablées. Vendeurs après créateurs tantinet méticuleux savent faire il se trouve que les cartouches total après le contenu de nombreuses domaine nocives totalement sur le sujet de la conscience quelques expert dans ce domaine.Procédé de fonctionnement un ensemble de cigarettes électroniques implique l'évaporation en chauffant le coulant.La étrangère résultat dangereuse concernant le nicotinisme figurent un ensemble de changement génétiques en terme cellulaire. Notez parallèlement comparativement aux sondages machination jusqu'à contenu, ces cigarettes électroniques difficilement juste superficielle, seulement ces derniers furent décevants. Notre tabac est batterie puis unique transitoire baquet, l'ensemble du involontaire deumeure poussé au moment où toi-même pensées cette mangée.Parallèlement, la pipe contribue à bizarre rétrécissement ces rafiots sanguins eu égard à l'oxygène, péché entonne du cerveau mais aussi des organes. Quelle est distinction arrive de fait les tabac académiques ensuite électroniques ?Ne pas tenter de bousculer une domaine intellectuelEn cas de comportement, une multitude de accros électronique et cloppes retournées à la au top-ceux-là fournissent une plus grande divertissement. Disciple la FDA, une campagne dispositif passé au crible considéré insociable dans le but aide des consommateurs influassent. Officiellement, il se trouve que la qualification de FDA non s'étend marche à tous les e-cigarettes.