Mon site a été sondé par un tas d'adresses IP du Maroc (en essayant de soumettre des formulaires, en essayant des URL potentielles, en essayant d'exécuter des scripts, etc.), j'ai une forte suspicion que c'est la même personne après avoir observé le modèle de leur comportement . En regardant les journaux, ils ne semblent pas avoir trouvé de vulnérabilités. Je ne suis pas sûr de ce que je dois faire à ce sujet, à part continuer à observer. Le blocage de l'IP ne semble pas utile car il semble changer.
Y a-t-il quelque chose que je puisse faire à ce stade?
Bienvenue sur Internet! C'est la situation normale, comme d'habitude.
Vous n'avez rien d'autre à faire que de durcir votre site Web. De telles sondes se produisent tout le temps, sur tous les sites, de jour comme de nuit. Certaines personnes appellent cela un "test de stylo volontaire".
Selon votre site, il existe des outils que vous pouvez utiliser pour vous aider à garder ces types de sondes hors du site. Wordpress ont quelques plugins (vous pouvez rechercher Security plugins dans le répertoire plugins), et je pense que les autres plates-formes populaires auront des plugins équivalents.
Un autre outil que j'utilise habituellement est fail2ban. Il peut analyser vos fichiers journaux de serveur Web et réagir en conséquence.
La première étape en dehors de la recherche immédiate d'une solution consiste à effectuer une analyse approfondie de votre propre site et à être réellement conscient des faiblesses de votre site. Si vous ne savez pas ce que vous protégez, comment saurez-vous le protéger?
Tout d'abord, regardez l'infrastructure telle que CMS. Par exemple, si vous utilisez Wordpress, il existe des outils de pentesting pour Wordpress disponibles à la fois en tant qu'applications et outils cmd. Ie Wordfence , et j'ai utilisé - WPscan également.
La deuxième option est de regarder des outils comme OWASP zaproxy et de faire une analyse d'attaque de votre réseau et d'obtenir une liste de vulnérabilités. Juste une note que certains d'entre eux pourraient être de faux positifs.
Vos résultats peuvent refléter ce qui a déjà été trouvé, mais je pense que connaître les vulnérabilités de votre propre site est utile.
La prochaine étape est de savoir comment vous découvrez ces sondes. S'il s'agissait d'une vérification manuelle, vous pouvez également envisager de configurer un système de collecte de journaux comme NXLog
Déterminez ce qu'ils recherchent et interdisez leur propriété intellectuelle pendant un mois ou deux s'ils l'essaient. Vous pouvez également simuler certains PHP pour les ralentir.
Ne les référez pas à d'autres sites pour des téléchargements énormes et ne leur laissez pas de logiciels malveillants à trouver.
90% seront Wordpress, PHPMyAdmin, Téléphonie. S'ils sont des script kiddies, les mêmes anciennes valeurs apparaissent.
Regardez dans Fail2Ban et DenyHosts pour des idées.
Si vous utilisez réellement WP, renforcez-le avec une solution de sécurité.
Autorisez uniquement l'accès aux outils d'administration et à toute base de données par exception, et cela ne devrait presque jamais provenir d'une adresse Internet, mais quelque chose de local avec sa propre protection de type Bastion.
Si j'avais un centime pour chaque analyse de mon site Web ...
Littéralement, si vous consultez vos journaux, vous remarquerez un flux constant de sondes et d'attaques automatisées. Lorsque je consulte des clients (je travaille dans la sécurité de l'information), j'appelle cela du "bruit de fond". Il est là et toute tentative pour y remédier coûte plus cher que de simplement l'accepter. J'irais même jusqu'à le filtrer avant de canaliser les fichiers journaux dans vos systèmes de surveillance, d'alerte, SIEM, etc.
Ce que vous devez faire, c'est garder vos systèmes à jour et corrigés. Presque toutes ces attaques utilisent des exploits connus et souvent assez anciens. Ils pêchent des cibles faciles.
Ce que vous devriez faire, c'est passer un peu de temps à durcir votre système. Configurer correctement les autorisations, bloquer les ports inutilisés, désactiver les logiciels inutilisés, exécuter des trucs sous des utilisateurs dédiés, ce genre de trucs.
Ce que vous pouvez faire, en particulier pour un site Web privé avec un public local, est de bloquer de larges plages d'adresses IP appartenant à la Chine, la Russie, l'Europe et/ou les États-Unis, selon l'endroit où votre public n'est pas . La grande majorité des attaques proviennent de ces origines, et si vous n'avez personne aux États-Unis, par exemple, qui lit votre page Web parce que votre page Web concerne votre club canin local en Espagne, vous pouvez réduire le bruit en les bloquant simplement au pare-feu. J'écris "peut" car cela ne fait pas vraiment de différence, mais cela réduira le bruit dans votre journal (cela affectera également votre classement Google, mais c'est un sujet différent).