Checking against GET parameters is for the user-agent string not possible as
ordinary UAs may get blocked.

Signed-off-by: Roland Häder <rhaeder@cho-time.de>

Only for testing purposes the string is being sanitized, else http:// becomes http:/ and cannot be compared with http:// anymore

Signed-off-by: Roland Häder <rhaeder@cho-time.de>

Updated database

Signed-off-by: Roland Häder <roland@mxchange.org>

Renaming season has started:
- renamed $F -> $function
- renamed $L -> $line
- renamed $SQL -> $sqlString
- added type-hint for arrays

Signed-off-by: Roland Häder <roland@mxchange.org>

Sanitize request strings (also serialized POST data) from trickery like '//'
and '/./' where the attacker tries to circumvent checks.

Signed-off-by: Roland Häder <rhaeder@cho-time.de>

Continued:
- esystem is, well, system is better to look for
- block content-type header-insertion

Signed-off-by: Roland Häder <rhaeder@cho-time.de>

Continued improving:
- introduced crackerTrackerRequestMethod() to encapsulate $_SERVER['REQUEST_METHOD'] retrival
- this allows the script being used on console now
- check also user-agent string for bad occurrences (difference not yet logged)

Signed-off-by: Roland Häder <rhaeder@cho-time.de>

Updated a lot:
- fixed domain as the one with dash is gone
- loading config is now done correctly after general array is being initialized
- fixed loading of header template

Signed-off-by: Roland Häder <rhaeder@cho-time.de>

Index on count column to improve SUM queries

Signed-off-by: Roland Häder <roland@mxchange.org>

This column should be after remote_addr to have both side by side

Signed-off-by: Roland Häder <roland@mxchange.org>

Can be combined and makes code look nicer.

Signed-off-by: Roland Häder <roland@mxchange.org>

Added MySQL internal-use-only function

Signed-off-by: Roland Häder <roland@mxchange.org>

Also log request method

Signed-off-by: Roland Häder <roland@mxchange.org>

One to much ...

Signed-off-by: Roland Häder <roland@mxchange.org>

More PHP function calls (I don't like such RPCs) blocked

Signed-off-by: Roland Häder <roland@mxchange.org>

Added .gitattributes

Signed-off-by: Roland Häder <roland@mxchange.org>

Opps ...

Signed-off-by: Roland Häder <roland@mxchange.org>

Rewrote to MySQLi

Signed-off-by: Roland Häder <roland@mxchange.org>

Fixed

Signed-off-by: Roland Häder <haeder@hmmdeutschland.de>

Added proc/self/environ

Signed-off-by: Roland Häder <roland@mxchange.org>

Added 'safe_mode' (php.ini setting).

Signed-off-by: Roland Häder <roland@mxchange.org>

Don't continue if the cookie has been set + ticket has created. 'unknown' was found as IP address.

Signed-off-by: Roland Häder <roland@mxchange.org>

Added some php.ini settings to block

Opps, did forget the fetch :(

No more ORDER BY required, cool.

Added index + optimized query

Reverted removal, maybe now working?

Opps :(

:( Not good enough

Added logging/detection of proxy IP address

server_name and script_name can now be NULL and set all empty strings to NULL, added %3E%3C (><) which indicates an attempt to insert a HTML link into a badly secured URL

%20 was to much here

Just '/group' was to restrictive (e.g. breaks StatusNet)

Added 'Autocomplete' as known-incompatible plugin

Updated TODOs.txt

Fix for parser error :(

Resorted almost all pattern checks + used more single-quotes than double

Wrappers like data://, tcp:// et cetera now blacklisted

Use constants instead of keywords

Fixes (opps) for bad check, blocked all

Experimental commit:
decode URL before checking to avoid something like this: q=%2FopenFooBar which
would be converted to q=%2fopenfoobar and then blocked as 'fopen' is then found.

This happens with StatusNet 1.1.1

Added incompatible notice

Excluded secure_session=1 from mantis

Now use str_ireplace()

Better use this?

Extended is correct

Remove even more

unsetCtrackerData() introduced

Docu updated, detection array resorted a little

Blocked also %27 (')

Detection of attempt of SQL injections added

Taken care of possible missing elements

'cmd=' broke to many legtime requests, cmd.exe should kill Windozer attacks a little more

.pl harms also legitime requests

Now all forms of '0x' are detected

DOCUMENT_ROOT and _SERVER added (avoid these things please)

Block also these

init also this

Fix for missing 'ctracker_post_track'

Detection of hexa-decimal encoded (0xXXXXX) strings added

svn:eol-style set to 'native'

Duplicate entries removed, typo fixed

Copyright updated

Some obsolete comment removed

Fixed error reporting for debug mode

Default value of 'count' needs to be 1

Configuration entry 'ctracker_debug' renamed to 'ctracker_debug_enabled' to make clear this is a boolean config

Some code blocks moved, detection of '..//' added, user-agent is now securely used

SVN properties globally set

'Based on' added, /proc/ will now be detected, do not use it in your scripts

Fixes for missing config if no database link is provided

TODOs.txt updated ...

Documentation does now make a notice about database-less operations

Updated to allow database-less operation

Renamed

Log of first attempt fixed

Fix

This should also not be used in URLs

Missing form elements handled

Fix #4 from root...

Fix #3

Fix #2

Fixes... :(

Complete rewrite:
- Very simple and basic template system (HTML and email) added
- Templates are language-dependent or indepented, this depends on if you call
  crackerTrackerLoadTemplate() or crackerTrackerLoadLocalizedTemplate()
- Email templates are always language-depenent... :-)
- Flexible database auto-update added (please just call your secured script
  normally!)
- Language sub-system added (German and English language is complete)
- Suport ticket added which gives your users, if his IP has recent malicious
  activities on the secured server, a support ticket form where they can request
  help. After the form is sent, the user can fully disable that warning. This is
  done by the script sends him a cookie with his ticket id.
- This support ticket system can be switched off and a little configured in
  the database table 'ctracker_config'. You can currently change the following
  values there:
  + Minimum random delay in seconds (default: 10 seconds)
  + Maximum random delay in seconds (default: 30 seconds)
  + Wether the support ticket system is on/off (default: on)
  + Which language you prefer to read (default: en)
- README updated

Added more flexible options

Updated

Updated

Renamed to bypass naming conflicts

Now detects proxy usage

Mails updated

A lot spaces removed, array with server_name extended (SELECT query was extended, too)

Unmodified GET data (query string) added

Fix for warning

Some nice improvements:
- Mail headers and receipient address configurable (the constant
  __CTRACKER_EMAIL is deprecated)
- Domain is now included in check (see function isCrackerTrackerEntryFound())
- Last attempt wasn't logged correctly (bad SQL)
- Minor improvements

Database dump added

We don't need an open database link after the work is done

First implemenation

Even more prepared

Also them... :(

All removed because this is a mini non-frameworked application