src/Event/ForceBruteListener.php line 169

Open in your IDE?
  1. <?php
  3. namespace App\Event;
  5. use Symfony\Component\HttpFoundation\Response;
  6. use Symfony\Component\HttpKernel\Event\GetResponseForExceptionEvent;
  7. use Symfony\Component\HttpKernel\Event\FilterControllerEvent;
  8. use Symfony\Component\Security\Core\Security;
  10. // use Symfony\Bundle\FrameworkBundle\Routing\Router;
  11. // use Symfony\Component\HttpFoundation\RedirectResponse;
  12. use App\PaaBundle\Entity\adressesIP ;
  13. use App\PaaBundle\Entity\adressesIP_Evenements ;
  14. use App\PaaBundle\Component\Logs;
  16. use DateTime;
  18. // Gestionnaire de page not found, pour blacklistage des attaques par force brute
  19. // Erreurs NotFoundHttpException : test par un robot de toutes les URLS classiques
  20. // Erreurs d'authentification (A VENIR)
  21. class ForceBruteListener {
  23.     /**
  24.      * @var string
  25.      */
  26.     private $project_dir;
  27.     private $entityManager;
  28.     private $security;
  30.     public function __construct($project_dir$doctrineSecurity $security) {
  31.         $this->project_dir $project_dir;
  32.         $this->entityManager $doctrine->getManager() ;
  33.         $this->security $security ;
  34.     }
  36.     // Capture des exceptions "page not found"
  37.     public function onKernelException(GetResponseForExceptionEvent $event) {
  38.         if (
  39. //            $_ENV['APP_ENV'] != 'prod' || 
  40.             !$event->isMasterRequest() || 
  41.             !$event->getException() instanceof \Symfony\Component\HttpKernel\Exception\NotFoundHttpException
  42.         ) {
  43.             // Nous ne sommes pas en prod, ou ce n'est pas la requête ppale, ou ce n'est pas une exception "File not found"
  44.             return;
  45.         }
  46.         // A partir de là, on traite les exceptions "Page non trouvée"
  47.         $request $event->getRequest() ;
  48.         
  49.         if ($request->getRequestUri() == "/favicon.ico") {
  50.             // Pas à pendre en compte : arrive toujours en prod
  51.             return ;
  52.         }
  54.         if ($this->security->getToken()) {
  55.             // Cette condition ne semble jamais respectée et c'est dommage car on ne peut pas savoir si le user est authentifié
  56.             // et que dans ce cas on ne devrait pas bannir cette adresse IP car l'erreur "Route not found" est plus probablement due à un bug de l'application (route bosolète/mal configurée/...)
  57.             // Du coup, on est obligés de passer par la vérification que cette IP a été authentifiée au moins une fois dans le passé ci-dessous ($loAdresseIP->estAuthentifiéeAuMoinsUneFois())
  58.             // C'est src/PaaBundle/Component/Authentication/Handler/LoginSuccessHandler.php qui pose le flag en question
  59.             $user $this->security->getUser();
  60.             // L'objet sécurité est à jour avec le token d'authentification, on peut donc vérifier si l'utilisateur en cours est bien authentifié
  61.             // $user = $this->security->getUser();
  62.             $lbAuthentifié $this->security->isGranted('IS_AUTHENTICATED_FULLY') ;
  63.             if ($lbAuthentifié) {
  64.                 // Puisque l'utilisateur est authentifié, on ne devrait pas le bannir s'il s'agit d'un bug de l'application et non d'une tentative de force brute
  65.                 return ;
  66.             }
  67.         }
  69.         $ip $request->getClientIp() ;
  71.         $loRepo $this->entityManager->getRepository("PaaBundle:adressesIP");
  72.         if (!$loRepo->estUtilisable()) {
  73.             // La table AdressesIP n'est pas encore créée
  74.             return ;
  75.         }
  76.         $loAdresseIP $loRepo->findByIP($ip) ;
  77.         if (!$loAdresseIP) {
  78.             // Adresse IP pas encore référencée : l'ajouter maintenant
  79.             $loAdresseIP = new adressesIP() ;
  80.             $loAdresseIP->setCIP($ip) ;
  82.         } else if ($loAdresseIP->estAuthentifiéeAuMoinsUneFois()) {
  83.             // Cette adresse a déja été authentifiée au moins une fois (un utilisateur s'est authentifié avec succès à partir de cette adresse)
  84.             // On ne va pas bannir cette adresse IP car l'erreur "Route not found" est plus probablement due à un bug de l'application (route bosolète/mal configurée/...)
  85.             return ;
  86.         }
  88.         // Ajouter l'événement à l'historique de cette adresse IP
  89.         $loEvenement = new adressesIP_Evenements() ;
  90.         $loEvenement->setAdresseIP($loAdresseIP) ;
  91.         $loEvenement->setTEvenement(new DateTime()) ;
  92.         $loEvenement->setITypeEvenement($loRepo::TYPE_ROUTENOTFOUND) ;
  93.         $loEvenement->setCDescEvenement($request->getRequestUri()) ;
  95.         $this->entityManager->persist($loEvenement) ;
  96.         $this->entityManager->flush() ;
  98. // LG 20241023 début
  99. //        $lbBanni = $loRepo->updateABannir($loAdresseIP) ;
  100.         $lbVientDetreBannie false ;
  101.         $lbBanni $loRepo->updateABannir($loAdresseIP$lbVientDetreBannie) ;
  102. // LG 20241023 fin
  103.         if ($lbBanni) {
  104.             // Cette adresse est bannie
  106. // LG 20241023 début
  107. //            // Logger le banissement
  108. //            $message = "L'adresse IP $ip vient d'être bannie pour dépassement du nombre max d'événements.";
  109. //            $this->log($message) ;
  110.             if ($lbVientDetreBannie) {
  111.                 // Logger le banissement
  112.                 $message "L'adresse IP vient d'être bannie pour dépassement du nombre max d'événements : $ip.";
  113.                 $this->log($message) ;
  114.             }
  115. // LG 20241023 fin
  117.             // Renvoyer une réponse ici évite de passer dans les gestionnaires d'erreur suivants : c'est donc cette réponse qui sera renvoyée au client
  118.             $response = new Response($this->getMsg($ip), Response::HTTP_FORBIDDEN);
  119.             $event->setResponse($response);
  120.             return ;
  121.         }
  123.         // Si on arrive jusque là, le traitement normal de l'exception va se poursuivre
  124.         return ;
  125.     }
  127.     // Vérification sur chaque requête que l'adresse n'est pas bannie
  128.     public function onKernelController(FilterControllerEvent $event) {
  129.         if (!$event->isMasterRequest()) {
  130.             // Cette requête n'est pas la requête principale
  131.             return ;
  132.         }
  134.         // if ($event->getController() && isset($event->getController()[1]) && isset($event->getController()[1]) == "toolbarAction") {
  135.         //     // Rien à faire dans ce contexte
  136.         //     return ;
  137.         // }
  139.         if ($this->security->getToken()) {
  140.             // L'objet sécurité est à jour avec le token d'authentification, on peut donc vérifier si l'utilisateur en cours est bien authentifié
  141.             // $user = $this->security->getUser();
  142.             $lbAuthentifié $this->security->isGranted('IS_AUTHENTICATED_FULLY') ;
  143.             if ($lbAuthentifié) {
  144.                 // Puisque l'utilisateur est authentifié, pas besoin de vérifier s'il est banni
  145.                 return ;
  146.             }
  147.         }
  149.         $request $event->getRequest() ;
  150.         $ip $request->getClientIp() ;
  152.         $loRepo $this->entityManager->getRepository("PaaBundle:adressesIP");
  153.         if (!$loRepo->estUtilisable()) {
  154.             // La table AdressesIP n'est pas encore créée
  155.             return ;
  156.         }
  157.         $loAdresseIP $loRepo->findByIP($ip) ;
  158.         if ($loAdresseIP && $loAdresseIP->estBannie()) {
  159.             // Cette adresse IP est bannie
  161.             // Logger la tentative
  162. // LG 20241023 début
  163. //            $message = "L'adresse IP est bannie mais fait une tentative d'accès : $ip.";
  164.             $message "L'adresse IP est bannie mais fait une tentative d'accès : $ip, URI : {$event->getRequest()->getRequestUri()}.";
  165. // LG 20241023 fin
  166.             $this->log($message) ;
  168.             // Terminer en erreur
  169.             throw new \Exception($this->getMsg($ip)) ;
  170.         }
  172.         // Si on arrive jusque là, le traitement normal va se poursuivre
  173.         return ;
  174.     }
  176.     // Renvoyer le message d'erreur
  177.     private function getMsg($ip) {
  178.         return "Désolé, l'adresse IP que vous utilisez ($ip) a été bannie pour cette application en raison d'un trop grand nombre de tentatives infructueuses. Merci de demander à un administrateur de vous aider à rétablir la situation." ;
  179.     }
  181.     // Logguer un message
  182.     private function log($msg) {
  183.         Logs::setProjectDir($this->project_dir) ;
  184.         Logs::setStackTrace("") ;
  185.         Logs::critical($msg, [], true) ;
  186.     }
  188. }