Nouvel email ou plutôt SPAM n°121916 de Wordfence :
| > After our post on Friday discussing the increase in brute force attacks on WordPress in December, we received a lot of feedback. A few readers reached out to me personally with some additional data. > > A source in Kiev, Ukraine contacted me and this morning we chatted via Skype about the political and military situation in Ukraine. > > We published an update a few minutes ago that shows who is likely behind the attacks and what their motivation might be. |
|---|
Maintenant il faut vérifier les faits, est-ce que je me fais attaquer par les Russes :
J’ai donc les logs d’apache du 14/03/2008 à aujourd’hui et j’ai installé Wordfence le 7/12/2016. Je veux voir si les attaques par injection SQL en mode GET sont nouvelles ou pas. Et je veux voir si cela correspond à la date d’installation de Wordfence.
Quelques commandes de base pour rappel :
J’ai donc fait une révision de “du”, “awk”, “ls”, “gunzip”, “grep” (avec ‘-w’ et sans casse ‘-i’) , “time” ;) . J’ai donc eu 16008 tentatives d’injections par injection avec la méthode GET. Maintenant on va chercher les IPs afin de pouvoir les filtrer.
Pour l’instant je suis en phase d’observation. Il est vrai que certains des conseils étaient bons, comme supprimer des fichiers de logs ou d’installation. Ensuite je trouve vraiment bien de tracer toutes les connexions à la page d’admin et d’envoyer un email à chaque connexion.
Maintenant il va falloir que j’analyse les attaques :
The Wordfence Web Application Firewall has blocked 253 attacks over the last 10 minutes. Below is a sample of these recent attacks:
