OVH Community, votre nouvel espace communautaire.

Faut-il rapporter les IP qui exécutent des attaques - si oui, comment


janus57
27/04/2015, 14h24
Bonjour,

si l'ip est de OVH vous pouvez faire un rapport d"abuse ici : https://abuse.ovh.net/

Si l'ip n'est pas de OVH il faut contacter chaque abuse lié aux IP attaquantes, donc autant dire que parfois il fait laisser tomber surtout si ce sont des IP chinoise (attaque H24), russe ou autre ou généralement on a l'impression que les rapport d'abuse vont directement dans /dev/null (dans le vide quoi).

Si c'est en mutualisé il existe sans doute de très bon plugins wordpress qui peuvent bannir les IP automatiquement, si c'est sur un VPS/Dédié ==> fail2ban et/ou mod_security (sous apache).

Cordialement, janus57

RogerF
27/04/2015, 13h53
En regardant mes logs, je vois tous les jours des tentatives de hackage, souvent en provenance d'adresses IP localisées en Féd. Russe, mais parfois aussi d'ailleurs (Korée,...).

Le plus souvent, il s'agit d'essais d'exploitation des failles connues de plugins wordpress pour télécharger le fichier wp-config.php.
Les dernières tentaient de le faire via un "download.php" qui doit probablement se trouver dans certains thèmes (SWMF, TheLoft, acento, authentic, awake, construct, corporate_works, djavu, echelon, elegance, epic, infocus, jarida, lineity, lote27, markant, myriad, parallelus-mingle, parallelus-salutation, persuasion ) puisque ce sont ces adresses qui ont été attaquées. J'en ai donc profité pour nettoyer tous les thèmes installés pour des tests mais non actifs.

Quand j'ai commencé à analyser mes logs, J'ai vu un site qui tentait un login plusieurs fois par seconde du matin au soir, sans doute pour trouver un mot de passe par "brute force" et mes logs se sont bien réduits depuis que j'ai banni son adresse IP (195.206.253.146) et que j'ai installé une limitation du nombre de tentatives de login.

Est-ce que OVH a un mécanisme pour rapporter de telles attaques et faire profiter tous ses utilisateurs de la liste noire?