Voici la liste des IP que j’ai complètement bloqué, trop d’attaque :
91.200.12.114 (Ukraine) 91.200.12.65 (Ukraine) 91.200.12.4 (Ukraine) 178.89.110.135 (Kazakhstan) 122.114.251.82 (Chine) 222.86.214.132 (Chine) 192.99.63.202 (Canada) 112.78.5.70 (Vietnam) 81.177.135.161 221.2.137.143
Les premiers articles sortent :
https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx
Une fois encore c’est Windows qui est impacté … les informations que j’ai :
Il semblerait aussi qu’il y ait un fichier perfc.dat ou dllhost.dat ou perfc sous C:/Windows/ à supprimer (et non perfc.dll) . Cette information est aussi à confirmer.
L’idéal est aussi de bloquer le port 445/tcp et attendre que cela passe …
On ne le dit jamais assez : BACKUP + MISE A JOURS + TWEETERS .
Il y a une grosse discussion pour savoir si c’est #Peyta (infection via SMB: samba) ou #NotPeyta.
La propagation semble se faire via WebDAV (à confirmer).
J’ai reçu l’email de Digiposte :
En 2016, Digiposte s’est enrichi de plus de 350 organismes. Démarrez 2017 du bon pied en regroupant vos relevés, attestations et factures dans Digiposte.
BESOIN DE PARTAGER VOTRE RIB AVEC UN PROCHE ? CONNECTEZ-VOUS À DIGIPOSTE.
Mais c’est vraiment n’importe quoi … il faut travailler sur la sécurité !
Il faut mettre en place :
On ne peut pas mettre des documents plus important que sur Facebook, Google, Twitter, et avoir une sécurité moindre.
Alors je dis non à mon RIB tant que votre niveau de sécurité est aussi bas !
La sécurité passe aussi par l’analyse des logs d’Apache !
Je viens de faire deux POST sur la sécurité :
Attention a ne pas négliger la sécurité sur WordPress ! Il existe de bon plugin pour la sécurité :
Juste pour bien ce rendre compte, voici la commande pour voir le nombre d’attaques « Brute force » (voir le précédent post pour la création du fichier wp-login.txt). Certains jours on arrive a des nombres de connexions très important !
cat wp-login.txt | awk '{print $4}' | sed 's/:/ /g' | sed 's/\[/ /g' | awk '{print $1}' | sort -n | uniq -c | sort -n | tail -10
82853 04/Aug/2014
95061 28/Apr/2015
95716 06/Aug/2014
99668 08/Jun/2015
104825 03/May/2015
106036 14/Aug/2014
107027 06/Aug/2015
107783 01/Sep/2015
110504 14/Oct/2015
217976 02/May/2015
On remarque le mois d’Aout est le préférer pour les attaques !
Et voici la commande pour voir le nombre de tentative d’injection SQL par jour :
cat select.txt | awk '{print $4}' | sed 's/:/ /g' | sed 's/\[/ /g' | awk '{print $1}' | sort -n | uniq -c | sort -n | tail -10
404 16/May/2009
433 10/Feb/2016
616 08/Aug/2008
648 25/Jan/2015
775 30/May/2009
844 08/Jan/2015
864 07/Jan/2015
1159 25/Feb/2016
1507 27/Jul/2008
1513 15/Dec/2014
Cela prend de la ressource au serveur, le mieux est donc de filtrer les IP :
123.30.187.167 174.136.35.43 194.149.10.39 211.125.90.135 212.68.54.246 62.109.15.8 91.200.12.* 91.200.13.* 91.200.14.* 91.200.15.* 91.200.156.92
Il faut aussi faire un diagnostic de l’installation, et je dois dire que de Diagnostic de Wordfence est assez bien fait. Par contre il faut faire aussi attention à la taille des tables sur MySQL, certain plugin abuse du stockage en table.