src/Event/ForceBruteListener.php line 117

Open in your IDE?
  1. <?php
  3. namespace App\Event;
  5. use Symfony\Component\HttpFoundation\Response;
  6. use Symfony\Component\HttpKernel\Event\GetResponseForExceptionEvent;
  7. use Symfony\Component\HttpKernel\Event\FilterControllerEvent;
  8. use Symfony\Component\Security\Core\Security;
  10. // use Symfony\Bundle\FrameworkBundle\Routing\Router;
  11. // use Symfony\Component\HttpFoundation\RedirectResponse;
  12. use App\PaaBundle\Entity\adressesIP ;
  13. use App\PaaBundle\Entity\adressesIP_Evenements ;
  14. use App\PaaBundle\Component\Logs;
  16. use DateTime;
  18. // Gestionnaire de page not found, pour blacklistage des attaques par force brute
  19. // Erreurs NotFoundHttpException : test par un robot de toutes les URLS classiques
  20. // Erreurs d'authentification (A VENIR)
  21. class ForceBruteListener {
  23.     /**
  24.      * @var string
  25.      */
  26.     private $project_dir;
  27.     private $entityManager;
  28.     private $security;
  30.     public function __construct($project_dir$doctrineSecurity $security) {
  31.         $this->project_dir $project_dir;
  32.         $this->entityManager $doctrine->getManager() ;
  33.         $this->security $security ;
  34.     }
  36.     // Capture des exceptions "page not found"
  37.     public function onKernelException(GetResponseForExceptionEvent $event) {
  38.         if (
  39. //            $_ENV['APP_ENV'] != 'prod' || 
  40.             !$event->isMasterRequest() || 
  41.             !$event->getException() instanceof \Symfony\Component\HttpKernel\Exception\NotFoundHttpException
  42.         ) {
  43.             // Nous ne sommes pas en prod, ou ce n'est pas la requête ppale, ou ce n'est pas une exception "File not found"
  44.             return;
  45.         }
  46.         // A partir de là, on traite les exceptions "Page non trouvée"
  47.         $request $event->getRequest() ;
  48.         
  49.         if ($request->getRequestUri() == "/favicon.ico") {
  50.             // Pas à pendre en compte : arrive toujours en prod
  51.             return ;
  52.         }
  54.         if ($this->security->getToken()) {
  55.             // Cette condition ne semble jamais respectée et c'est dommage car on ne peut pas savoir si le user est authentifié
  56.             // et que dans ce cas on ne devrait pas bannir cette adresse IP car l'erreur "Route not found" est plus probablement due à un bug de l'application (route bosolète/mal configurée/...)
  57.             // Du coup, on est obligés de passer par la vérification que cette IP a été authentifiée au moins une fois dans le passé ci-dessous ($loAdresseIP->estAuthentifiéeAuMoinsUneFois())
  58.             // C'est src/PaaBundle/Component/Authentication/Handler/LoginSuccessHandler.php qui pose le flag en question
  59.             $user $this->security->getUser();
  60.             // L'objet sécurité est à jour avec le token d'authentification, on peut donc vérifier si l'utilisateur en cours est bien authentifié
  61.             // $user = $this->security->getUser();
  62.             $lbAuthentifié $this->security->isGranted('IS_AUTHENTICATED_FULLY') ;
  63.             if ($lbAuthentifié) {
  64.                 // Puisque l'utilisateur est authentifié, on ne devrait pas le bannir s'il s'agit d'un bug de l'application et non d'une tentative de force brute
  65.                 return ;
  66.             }
  67.         }
  69.         $ip $request->getClientIp() ;
  71.         $loRepo $this->entityManager->getRepository("PaaBundle:adressesIP");
  72.         if (!$loRepo->estUtilisable()) {
  73.             // La table AdressesIP n'est pas encore créée
  74.             return ;
  75.         }
  76.         $loAdresseIP $loRepo->findByIP($ip) ;
  77.         if (!$loAdresseIP) {
  78.             // Adresse IP pas encore référencée : l'ajouter maintenant
  79.             $loAdresseIP = new adressesIP() ;
  80.             $loAdresseIP->setCIP($ip) ;
  82.         } else if ($loAdresseIP->estAuthentifiéeAuMoinsUneFois()) {
  83.             // Cette adresse a déja été authentifiée au moins une fois (un utilisateur s'est authentifié avec succès à partir de cette adresse)
  84.             // On ne va pas bannir cette adresse IP car l'erreur "Route not found" est plus probablement due à un bug de l'application (route bosolète/mal configurée/...)
  85.             return ;
  86.         }
  88.         // Ajouter l'événement à l'historique de cette adresse IP
  89.         $loEvenement = new adressesIP_Evenements() ;
  90.         $loEvenement->setAdresseIP($loAdresseIP) ;
  91.         $loEvenement->setTEvenement(new DateTime()) ;
  92.         $loEvenement->setITypeEvenement($loRepo::TYPE_ROUTENOTFOUND) ;
  93.         $loEvenement->setCDescEvenement($request->getRequestUri()) ;
  95.         $this->entityManager->persist($loEvenement) ;
  96.         $this->entityManager->flush() ;
  98.         $lbBanni $loRepo->updateABannir($loAdresseIP) ;
  99.         if ($lbBanni) {
  100.             // Cette adresse est bannie
  102.             // Logger le banissement
  103.             $message "L'adresse IP $ip vient d'être bannie pour dépassement du nombre max d'événements.";
  104.             $this->log($message) ;
  106.             // Renvoyer une réponse ici évite de passer dans les gestionnaires d'erreur suivants : c'est donc cette réponse qui sera renvoyée au client
  107.             $response = new Response($this->getMsg($ip), Response::HTTP_FORBIDDEN);
  108.             $event->setResponse($response);
  109.             return ;
  110.         }
  112.         // Si on arrive jusque là, le traitement normal de l'exception va se poursuivre
  113.         return ;
  114.     }
  116.     // Vérification sur chaque requête que l'adresse n'est pas bannie
  117.     public function onKernelController(FilterControllerEvent $event) {
  118.         if (!$event->isMasterRequest()) {
  119.             // Cette requête n'est pas la requête principale
  120.             return ;
  121.         }
  123.         // if ($event->getController() && isset($event->getController()[1]) && isset($event->getController()[1]) == "toolbarAction") {
  124.         //     // Rien à faire dans ce contexte
  125.         //     return ;
  126.         // }
  128.         if ($this->security->getToken()) {
  129.             // L'objet sécurité est à jour avec le token d'authentification, on peut donc vérifier si l'utilisateur en cours est bien authentifié
  130.             // $user = $this->security->getUser();
  131.             $lbAuthentifié $this->security->isGranted('IS_AUTHENTICATED_FULLY') ;
  132.             if ($lbAuthentifié) {
  133.                 // Puisque l'utilisateur est authentifié, pas besoin de vérifier s'il est banni
  134.                 return ;
  135.             }
  136.         }
  138.         $request $event->getRequest() ;
  139.         $ip $request->getClientIp() ;
  141.         $loRepo $this->entityManager->getRepository("PaaBundle:adressesIP");
  142.         if (!$loRepo->estUtilisable()) {
  143.             // La table AdressesIP n'est pas encore créée
  144.             return ;
  145.         }
  146.         $loAdresseIP $loRepo->findByIP($ip) ;
  147.         if ($loAdresseIP && $loAdresseIP->estBannie()) {
  148.             // Cette adresse IP est bannie
  150.             // Logger la tentative
  151.             $message "L'adresse IP $ip est bannie mais fait une tentative d'accès.";
  152.             $this->log($message) ;
  154.             // Terminer en erreur
  155.             throw new \Exception($this->getMsg($ip)) ;
  156.         }
  158.         // Si on arrive jusque là, le traitement normal va se poursuivre
  159.         return ;
  160.     }
  162.     // Renvoyer le message d'erreur
  163.     private function getMsg($ip) {
  164.         return "Désolé, l'adresse IP que vous utilisez ($ip) a été bannie pour cette application en raison d'un trop grand nombre de tentatives infructueuses. Merci de demander à un administrateur de vous aider à rétablir la situation." ;
  165.     }
  167.     // Logguer un message
  168.     private function log($msg) {
  169.         Logs::setProjectDir($this->project_dir) ;
  170.         Logs::setStackTrace("") ;
  171.         Logs::critical($msg, [], true) ;
  172.     }
  174. }