La sécurité passe aussi par l’analyse des logs d’Apache !
Je viens de faire deux POST sur la sécurité :
- https://www.cyber-neurones.org/2016/12/wordfence-mon-analyse-des-attaques-brute-force/ : Mon analyse des attaques “Burte force”
- https://www.cyber-neurones.org/2016/12/wordfence-mon-analyse-a-partir-des-logs-dapache-des-attaques-par-injection-sql/ : Mon analyse à partir des logs d’Apache des attaques par injection SQL en méthode GET.
Attention a ne pas négliger la sécurité sur Wordpress ! Il existe de bon plugin pour la sécurité :
- Word fence Security. Version 6.2.8 | Par Wordfence
- Email a chaque connexion.
- Email a chaque recommandation de mise à jour.
- Diagnostic.
- All In One WP Security. Version 4.2.4 | Par Tips and Tricks HQ, Peter, Ruhul, Ivy
- Filtre IP : Liste notre .
- Captcha by BestWebSoft. Version 4.2.8 | Par BestWebSoft
- WP-SpamShield. Version 1.9.9.8 | Par Scott Allen
- Eviter le SPAM dans les commentaires.
Juste pour bien ce rendre compte, voici la commande pour voir le nombre d’attaques “Brute force” (voir le précédent post pour la création du fichier wp-login.txt). Certains jours on arrive a des nombres de connexions très important !
cat wp-login.txt | awk '{print $4}' | sed 's/:/ /g' | sed 's/\[/ /g' | awk '{print $1}' | sort -n | uniq -c | sort -n | tail -10
82853 04/Aug/2014
95061 28/Apr/2015
95716 06/Aug/2014
99668 08/Jun/2015
104825 03/May/2015
106036 14/Aug/2014
107027 06/Aug/2015
107783 01/Sep/2015
110504 14/Oct/2015
217976 02/May/2015
On remarque le mois d’Aout est le préférer pour les attaques !
Et voici la commande pour voir le nombre de tentative d’injection SQL par jour :
cat select.txt | awk '{print $4}' | sed 's/:/ /g' | sed 's/\[/ /g' | awk '{print $1}' | sort -n | uniq -c | sort -n | tail -10
404 16/May/2009
433 10/Feb/2016
616 08/Aug/2008
648 25/Jan/2015
775 30/May/2009
844 08/Jan/2015
864 07/Jan/2015
1159 25/Feb/2016
1507 27/Jul/2008
1513 15/Dec/2014Cela prend de la ressource au serveur, le mieux est donc de filtrer les IP :
123.30.187.167
174.136.35.43
194.149.10.39
211.125.90.135
212.68.54.246
62.109.15.8
91.200.12.*
91.200.13.*
91.200.14.*
91.200.15.*
91.200.156.92Il faut aussi faire un diagnostic de l’installation, et je dois dire que de Diagnostic de Wordfence est assez bien fait. Par contre il faut faire aussi attention à la taille des tables sur MySQL, certain plugin abuse du stockage en table.