Dans l’article « Monitorez la sécurité de vos serveurs en temps réel » nous vous avions informé qu’un site internet peut devenir la cible des hackers et ce dès les premières minutes de sa mise en ligne.
Dans cet article, nous analyserons ensemble des attaques réelles dans le but d’identifier des actions simples que vous pouvez prendre pour protéger vos sites faces aux menaces les plus communément rencontrées sur internet.
Pour ce faire, nous allons analyser une semaine de statistiques d’attaques générées par le « web application firewall » qui inspecte le trafic des sites internet de nos clients :
Le web application firewall analyse le trafic envoyé vers les sites internet de nos clients.
Les requêtes identifiées comme malicieuses sont automatiquement bloquées.
Nous observons que les attaques détectées et bloquées par le web application firewall proviennent majoritairement de l’Ukraine et de la Russie.
Contre-mesures
Notre client ne faisant pas de commerce avec ces pays, il serait approprié de bloquer tout trafic en provenance de ces pays.
Cette contre-mesure diminuerait de 87.19% les risques de hack de ses sites internet.
Nous constatons que la plupart des « attaques » proviennent de « robots » scannant l’internet à des fins commerciales (moteurs de recherche, agrégateurs d’information) ou criminelles (recherches d’informations sensibles, de vulnérabilités, publications de spams, etc.)
Pour assouvir votre curiosité nous vous présentons ci-dessous quelques-uns de ces robots en action.
Robots connus par nos "sources d'intelligence" et catalogués comme « Robots spameurs » :
Robots tentant d’exploiter une vulnérabilité de type « SQL injection » afin de publier des messages de « spam » :
Robots scannant l’internet à la recherche de sites internet hébergeant une porte dérobée (backdoor) nommée SFX.php :
Contre-mesures :
Une manière de se protéger de ces robots « hackers » est de vous assurer que vos sites et serveurs web sont dépourvus de toutes vulnérabilités et qu’aucune information sensible (informations personnelles, arborescences de répertoires, interfaces d’administration, etc.) ne soit consultable par des utilisateurs non authentifiés.
Liste des vulnérabilités du CMS WordPress rendues publiques entre 2004 et 2016 : 222 vulnérabilités
Pour vous défendre face à ces attaques nous vous conseillons donc d’être avant tout proactif (détecter et stopper les attaques) plutôt que réactif (auditer et corriger les vulnérabilités).
Pour atteindre cet objectif, l’installation d’un Web application firewall permettant de bloquer les requêtes malicieuses à destination de vos sites internet est fortement conseillée.
Ce dernier protégera vos sites et ce même si les correctifs de sécurité n’ont pas été installés (Virtual Patching).
Vous aurez alors du temps pour tester et installer les correctifs nécessaires pour assurer votre sécurité.
Pour plus d’informations :
Quelques web applications firewall disponibles sur le marché :
http://www.tomsitpro.com/articles/web-application-firewall-guide,2-988-2.html (solutions à installer dans une DMZ)
http://www.fromdev.com/2011/07/opensource-web-application-firewall-waf.html (open source)
https://www.cloudflare.com/ (cloud Saas)
https://www.incapsula.com/ (cloud Saas)
Listes de diffusion pour se tenir informé des vulnérabilités découvertes
http://www.cvedetails.com/
https://www.us-cert.gov/ncas
Scanners de vulnérabilités gratuits :
https://cirt.net/Nikto2
https://github.com/Dionach/CMSmap
http://www.arachni-scanner.com/
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel :
info@oppidumsecurity.com