Enfin un autre concept que je trouve intéressant (simple et efficace) dans cette volonté de détecter des attaques au milieu d'un flot de requêtes légitimes : le pot de miel. Je vais prendre un exemple, qui n'est pas purement du honeypot, mais cela m'a fait réfléchir sur la tactique à adopter...
J'ai donc dû me pencher sur la protection de sites WordPress, avec beaucoup de tentatives de connexions par brute-force, soit via le wp-login.php ou aussi le xmlrpc.php. Si j'ai bien compris ce dernier permet d'effectuer des actions d'admin externe (en particulier créer des posts depuis d'autres sites ou outils desktop sans doute), donc généralement je sais qu'il n'est pas utilisé légitimement.
Au début j'avais pour habitude de le supprimer (une porte d'entrée inutile, autant la dégager), mais :
- le fichier peut facilement réapparaitre suite à des mises à jour, sans qu'on pense à le retirer à nouveau
- les attaques deviennent des 404 moins identifiables et l'attaquant n'insiste pas
Du coup j'ai préféré laisser le fichier en place, mais en ajoutant une mini extension custom pour le hooker :
- je commence par alimenter un fichier de log
- et puis quelque soit la demande réelle, je retourne une réponse bidon (l'air de rien) et exit !
Comme ça je rends le script inoffensif, mais sans faire fuir les attaquants et sans me priver d'alimenter ma liste d'IP à bannir (avec bien sûr un filtre fail2ban sur le fichier de log généré).
Voilà mes pistes de reflexions... si vous avez des remarques ou d'autres solutions n'hésitez pas ;)
[^] # Re: Retour d'expérience
Posté par Tony Flow . En réponse au journal Fail2ban, ajustement des valeurs par defaut. Évalué à 6.
Enfin un autre concept que je trouve intéressant (simple et efficace) dans cette volonté de détecter des attaques au milieu d'un flot de requêtes légitimes : le pot de miel. Je vais prendre un exemple, qui n'est pas purement du honeypot, mais cela m'a fait réfléchir sur la tactique à adopter...
J'ai donc dû me pencher sur la protection de sites WordPress, avec beaucoup de tentatives de connexions par brute-force, soit via le
wp-login.phpou aussi lexmlrpc.php. Si j'ai bien compris ce dernier permet d'effectuer des actions d'admin externe (en particulier créer des posts depuis d'autres sites ou outils desktop sans doute), donc généralement je sais qu'il n'est pas utilisé légitimement.Au début j'avais pour habitude de le supprimer (une porte d'entrée inutile, autant la dégager), mais :
- le fichier peut facilement réapparaitre suite à des mises à jour, sans qu'on pense à le retirer à nouveau
- les attaques deviennent des 404 moins identifiables et l'attaquant n'insiste pas
Du coup j'ai préféré laisser le fichier en place, mais en ajoutant une mini extension custom pour le hooker :
- je commence par alimenter un fichier de log
- et puis quelque soit la demande réelle, je retourne une réponse bidon (l'air de rien) et exit !
Comme ça je rends le script inoffensif, mais sans faire fuir les attaquants et sans me priver d'alimenter ma liste d'IP à bannir (avec bien sûr un filtre fail2ban sur le fichier de log généré).
Voilà mes pistes de reflexions... si vous avez des remarques ou d'autres solutions n'hésitez pas ;)