Après quelques semaines beaucoup d'anomalies ont été interceptées par Modsec, voici un petit tableau statistique des résultats sur le port 443 :
On voit que la majorité des détections sont dues à des "scanners de sites" ou à des "bad bots" qui cherchent inlassablement de nouveaux sites. Un certain nombre de ces "Bad bots" réalisent probablement des actions de reconnaissances pour action ultérieure.
Remarque : la partie "pirates" ne concerne que le HTTPS, la plupart des attaques exécutées en HTTP sont stoppées par Suricata dans lequel j'ai ajouté un fichier de règles lorsque je rencontre des tentatives non détectées, par exemple il existe des "tests" non détectés au milieu d'une attaque plus vaste. Il est bon d'ajouter la description de ces événements dans une règle Suricata. Ces règles sont souvent plus faciles à écrire que les règles de Modsecurity mais ne peuvent détecter des attaques en HTTPS.