Bonjour,
Depuis quelques mois, on est l’objet de multiples attaques et l’on a vu des choses bien étranges se passer. On a fini par déterminé que tout se passait sur un site comportant de simples pages html ainsi qu’un forum. Le site traite d’information scientifique. L’audience est peu importante, de sorte que l’on a un peu de peine à comprendre les motivations de ces attaques.
Ce site a été transféré de son serveur habituel et isolé sur un kimsufi 16g. Le forum a été remonté de toute pièce, histoire de vérifier qu’il n’y ait pas de script douteux ou de fichiers avec des permissions erronées.
Dans la case intitulée nouveaux membres, on continue à voir apparaître des nouveaux membres alors que l’on ne reçoit aucun messages d’inscriptions. On reçoit des messages d’erreurs. Sauf que l’on n’a pas envoyé de messages, etc. On ne voit rien sur les logs et on n’a aucun indice que le serveur sert d’openrelay. En définitive des trucs plutôt agaçant que bien méchant.
Sur le graphique MTRG, on a vu aussi apparaître quelques pâtés de couleurs violettes ou vertes. Parfois, le site était inatteignable. Faute de temps, de savoir-faire et comme ce site n’est pas tellement au centre de nos préoccupations, on n’a pas réagit. Et ça s'est arrêté tout seul.
Hier, sur le graphique MTRG, on voit une consommation de bande passante hors de proportion avec l’audience. L’aspect du graphique est en dent de scie de couleur verte. Comme l’heure est à l’économie de la bande passante, on s’inquiète un peu et on voit dans les logs des centaines (des miliers ?) de lignes comme ça :
xxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/hang.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.0$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/hanky.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/cunao.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/juego.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/ups.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.0 $
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:30 +0200] "GET /images/smilies/salta.gif HTTP/1.1" 404 1791 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/histerico.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozill$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/tongue.png HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/reglas.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/chino.png HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5.$
xxxxxxxxxxxx:80 190.148.206.158 - - [06/May/2012:08:45:31 +0200] "GET /images/smilies/worthy.gif HTTP/1.1" 404 1790 "http://www.reinosiberos.com/newthread.php?do=newthread&f=12" "Mozilla/5$
Cette attaque a l’air différentte de celles qu’on a subi précédemment.
Trois questions :
1) Dans la situation actuelle, vous faites quoi ?
2) En cas d’attaque (différente de celle de ce jour), quelles sont les logs à aller regarder et les commandes à faire pour déterminer le type de l’attaque et localiser le malfaisant?
3) Attitude générale à adopter face aux attaques ?
Merci de votre aide.