Quel monde de brute…force !

Ce soir, je rentre tranquillement chez moi et v’là-t’y pas que je reçois un mail m’informant de tentatives de connexions sur mon blog. Bon jusque là rien d’étonnant, ce sont  des choses qui arrivent sauf que 2mn après un autre mail et encore un autre… et ça n’en finissait plus ! Je décide donc de creuser un peu le bordel !

Naïvement je me dis que je vais bloquer ça avec un fichier « .htaccess » :

Effectivement je n’arrive plus à aller sur la page d’admin depuis une autre connexion, par contre, depuis chez moi c’est OK. On est pas mal !
Tu parles !!! Comment ça je reçois encore des mails 😮 Y’a vraiment quelqu’un qui m’en veut…

Bon, direction les logs d’accès. Je regarde ce qu’il se passe en direct (tail -f) et là je vois de multiples connexions vers « xmlrpc.php » dont voici un court extrait :

Pfff fait chier doit y avoir des malins (ou des chieurs). Copier/coller dans google et j’en apprends un peu plus sur ce fichier xmlrpc.php. Bien que cela reste encore un peu flou, je comprends qu’il y a des failles et qu’il peut être détourné pour lancer des attaques brute force et DDoS.

Dan l’urgence je me dis que bon, puisque j’en suis à bidouiller dans le .htaccess, autant rajouter une restriction pour cette page, voilà qui est fait :

Visiblement ça semble faire son effet puisque quand je regarde les logs d’accès maintenant, j’ai le code 403 (forbidden) qui est renvoyé :

On avance, on avance, sauf que si ce fichier est là c’est qu’il doit bien servir à quelque chose… Là je comprends qu’il est en général utilisé par des plugins populaires genre JetPack et que du coup il est possible de perdre quelques fonctionnalités.
Bref ! Peut importe si c’est le cas ou pas, mais avouez que bloquer ça à la mano dans un .htaccess c’est moyennement pérenne comme situation.

Après m’être perdu sur quelques sites parlant de ce problème, je tombe sur les mêmes solutions :

  • Celle que j’ai utilisé intuitivement, restreindre l’accès de la page via le fichier .htaccess.
  • Utilisé un filtre pour fail2ban qui va lire les fichiers d’accès, détecter les attaques et bannir l’ip source.
  • Utilisé un plugin.

L’option fail2ban n’est pas déconnante mais je la trouve un peu lourde quand même donc il ne me restait plus que le plugin, et après avoir lu quelques comparatifs, j’ai jeté mon dévolu sur Stop XML-RPC AttackAu final il ne fait rien de plus que ce que j’ai fait mais c’est géré dynamiquement.

Bon entre temps l’attaque semble s’être calmé mais le petit rigolo aura quand même fait mumuse pendant presque 5h…

L’histoire ne dit pas si c’est la bonne solution, donc si vous avez un avis sur la question n’hésitez pas à le donner, je suis tout ouïe 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.