Attaque sur serveur: Origine géographique.

Bonjour,

Il est possible d’évaluer d’où viennent les attaques sur le serveur SSH (le plus souvent tentatives de conection en root, soit le compte super administrateur des systèmes Linux). Le petit soft de bloquage des attaques, Fail2ban, indique l’IP d’origine. Cette IP est souvent celle de serveurs, donc on ne peut en déduire qui est réellement derriere.

Statistiquement, le pays winner dans l’hebergement de ces attaques est la Chine. Plus de 80% des alertes viennent de Chine. En terme d’IP différentes, la Chine ne représente que 50% des IP. Il semblerait que les serveurs chinois soient plus têtus dans leurs attaques.

Trouvé ce jour cet article intéressant sur le bruteforce SSH: de 2014!

 

Ensuite, il n’y a pas de domination franche, la Russie est loin derriere, j’ai autant de pays de l’UE que de Russes (Dannemark, Lituanie, Italie…).

Je n’en n’ai pas repéré des USA, pourtant eux aussi percent les serveurs. 😉

Sur le serveur nginx, là, c’est une autre affaire. A priori, les USA sont présentes…et la Chine absente:

Ici une attaque via scripts sur PHPmyadmin: Origine USA et tentative d’exploiter une faille pour shunter la difficulté du « brute-force » (tests des mots de passe sur dictionnaire)… (scripts ZMEU)

Edit: les attaques sur le blog « ado » lié à mon nom de domaine sont plus fréquentes que sur le blog principal 😮 et toutes originaires des USA.

Que mettre sur un blog?

Sur mon blog il n’y aura pas de vidéos de chats. En effet, via l’ADSL en 120Ko/s il serait déraisonnable d’envisager du full HD 😉 . Je pense également préserver les oreilles des très rares passants: c’est désagréable d’être obligé de couper le son pour pouvoir lire. En ce qui concerne les photos, la limitation de leur nombre et taille en Ko, pour garder un débit acceptable, est nécessaire. Je me retrouve en pratique au temps du web 1.0.

Compte tenu de la maigreur de cette bande passante, je n’aurais pas de pub en autohebergement ni Adsense. N’étant pas astreint à une obligation d’avoir une foule de lecteurs et « suiveurs », je n’ai pas non plus l’intention d’installer un module de comptage des visites, que ce soit le « Jet Pack » wordpress ou Google analytics. Cela me semble même contraire à l’objectif de l’autohebergement: Placer un mouchard sur toutes mes pages vous n’y pensez pas? Cela explique également l’absence de bouton de réseau social (pistage de l’internaute) Il faudra, pour réagir, commenter sur le site comme au temps du Web 1.0 .

Je vais regrouper les posts techniques et envisager des trucs un peu plus perso.

Où est la fenêtre que je saute?

Suite à mon article sur la forrestalite, j’ai constaté ceci:

Une belle série avec quasi une seule IP: 116.31.116.45

D’où qu’elle vient, cette IP, qui c’est?

C’est une IP chinoise. Elle est tenace depuis 3-4j malgré fail2ban. Je peux glisser ici que mon mot de passe est pigeon. Mais il se peut que derriere cette IP ce soit la NSA 😉

C’est ainsi que Macron peut dire que les Russes piratent son site 😆

Edit du 3/03/2017 au soir: Maintenant j’ai 2 IP chinoises tenaces, la 116.31.116.45 et la 116.31.116.43. Je pense que je vais également doubler la dose de mes gouttes du soir.

Edit 2: non, il y en a 3! (116.31.116.48) 🙂

Et il y a une « mariaflorey » qui essaye de poster de hollande, puis Allemagne, puis suede en l’espace de quelques heures…

Sauvegarde du site.

Bonjour,

J’ai maintenant un site (encore expérimental) qui présente bien. Il faut que je sache comment le sauvegarder et le resaurer en cas de mauvaise manip ou d’attaque sur le serveur.

  1. La solution raid de disque dur dans le même serveur ne protège de rien en cas de fausse manip/attaque.
  2. sauvegarde via internet théoriquement meilleure. A priori il faut sauvegarger les données (ici wp-content) et la base de donnée SQL (oh le gros mot). Il faudrait que je teste ça mais sur quoi et comment?

Forrestalite

Vous ne connaissez peut être pas l’histoire de James Forrestal, illustre secrétaire à la Marine US du début de la guerre froide… Il a fini par se jeter dans le vide en criant « Ils arrivent » (les Russes bien sûr) du haut d’un hôpital militaire.

A voir les bots qui circulent et butent sur Fail2ban, on pourrait avoir cette maladie. Là dedans, il y a les spamers à la recherche d’hebergement facile (mais qui achète sur pub spamée???), les agences d’état??? (au cas ou le mot de passe root est admin le gain est facile), les scripts kiddies en mode automatique… Ce monde d’IP anonymes (j’en ai repérés du Brésil, du Japon, d’Italie, ce qui ne signifie pas que les Italiens attaquent 🙂 ) est particulier.

 

Par ailleurs, pour ce qui est des risques d’interception des données entre le navigateur et mon serveur, pour ceux qui n’auraient pas fait attention, le site est en https et le s est là pour dire sécurisé (chiffré) comme le sont les sites de transaction banquaires. Cela bien sûr ne sécurise pas plus mon serveur vis à vis de failles logicielles ou humaines (mot de passe trivial)

Premiere tentative

D’utiliser ma maigre ligne pour du spam grâce aux commentaires.

Le système est efficace pour filtrer. J’ai au moins eu un visiteur étranger. Enfin, efficace…j’ai d’emblée fermé la possibilité de commentaire…sauf sur le premier post.

Je peux les réouvrir seulement pour les personnes enregistrées et empêcher les spameurs de poster.

Ici on peut voir les bots qui essaient de perçer mon serveur:

 

Y’en a du monde en 5 heures…

Yunohost et wordpress

Je teste de manière plus approfondie Yunohost et wordpress.

Je n’aime pas trop blogger (société de Google) bien que ce soit « gratuit » (ie payé par du temps de cerveau disponible) donc je m’autoheberge derrière de l’ADSL. Le principe consiste à contrôler l’intégralité du système (le blog et le serveur mail associé) Pas besoin de google plus ou même d’un compte google.

Pour ce faire, il faut maitriser (un peu) les grands principes d’une distribution Linux. Par exemple, ce blog tourne sous une debian Jessie installée en mode minimal avec ensuite ajout des paquets logiciels Yunohost https://yunohost.org/#/

En ce qui concerne WordPress, les skin de base ont l’avantage d’être clairs et aérés, facilitant la lecture. L’écriture des articles est aisée. Je compte éventuellement laisser à des membres de ma famille un accès en écriture et je teste immédiatement si ça passe en Chinois: 鱼 Ça semble être accessible en écriture.

En image:

test de yunohost

Après 1 nuit blanche et un massacre à la perceuse d’une beebox n3000 je me suis lancé dans la réalisation d’un microsite oueb.

Roundcube fonctionne également émission et réception de mail testé.

Le serveur: celeron N3000 avec 2 Go RAM et SSD de 120Go de récup. Le forage du capot supérieur pour laisser sortir ce radiateur était nécessaire sinon la bête chauffe (82°c sous cpuburn + glxgears) Là dans la cave elle est à 33°c.

 

Carte mère a poil avec son radiateur supplémentaire vissé.