Wordfence on Blog GoHugo de Fredô : Linux, Proxmox, IA, Trail, Course, Randonnée, Gravel, Ski de Randonnée

Wordfence, mon analyse des attaques "brute force"

Tue, 20 Dec 2016 00:00:00 +0000

Nouvel email ou plutôt SPAM n°121916 de Wordfence :

> After our post on Friday discussing the increase in brute force attacks on WordPress in December, we received a lot of feedback. A few readers reached out to me personally with some additional data. > > A source in Kiev, Ukraine contacted me and this morning we chatted via Skype about the political and military situation in Ukraine. > > We published an update a few minutes ago that shows who is likely behind the attacks and what their motivation might be.

Maintenant il faut vérifier les faits, est-ce que je me fais attaquer par les Russes :

Wordfence, mon analyse à partir des logs d'Apache des attaques par injection SQL

Sat, 17 Dec 2016 00:00:00 +0000

J’ai donc les logs d’apache du 14/03/2008 à aujourd’hui et j’ai installé Wordfence le 7/12/2016. Je veux voir si les attaques par injection SQL en mode GET sont nouvelles ou pas. Et je veux voir si cela correspond à la date d’installation de Wordfence.

Quelques commandes de base pour rappel :

Décompression de tous les fichiers :
- gunzip access.log.*.gz
On compte le nombre de fichier :
- ls -l LogsWeb/access.log.* | wc -l 3149
On regarde l’espace disque :
- du -sh LogsWeb 6,9G LogsWeb
On compte le nombre de ligne :
- wc -l LogsWeb/access.log.* | awk ‘{total += $1} END {print “Total " total}’ Total 53549284
On recherche le mot “Union” sens faire attention à la casse.Attention on ne regarde que les requêtes de type GET et non celle de type POST.
- time grep -w “UNION” LogsWeb/* > union.txt real 3m21.170s user 0m44.107s sys 0m5.489s
- wc -l union.txt 159 union.txt
- time grep -i “UNION” LogsWeb/* > union.txt real 6m46.629s user 3m27.873s sys 0m5.425s
- wc -l union.txt 66644 union.txt
- grep -i “select” union.txt > select.txt
- wc -l select.txt 16008 select.txt

J’ai donc fait une révision de “du”, “awk”, “ls”, “gunzip”, “grep” (avec ‘-w’ et sans casse ‘-i’) , “time” ;) . J’ai donc eu 16008 tentatives d’injections par injection avec la méthode GET. Maintenant on va chercher les IPs afin de pouvoir les filtrer.

Wordfence, plugin de sécurité sous Wordpress

Sat, 17 Dec 2016 00:00:00 +0000

Pour l’instant je suis en phase d’observation. Il est vrai que certains des conseils étaient bons, comme supprimer des fichiers de logs ou d’installation. Ensuite je trouve vraiment bien de tracer toutes les connexions à la page d’admin et d’envoyer un email à chaque connexion.

Maintenant il va falloir que j’analyse les attaques :

The Wordfence Web Application Firewall has blocked 253 attacks over the last 10 minutes. Below is a sample of these recent attacks: