Attaques web

Soumis par drupal_admin le jeu 21/02/2019 - 15:57

Après quelques semaines d'utilisation de Suricata en protection d'un serveur WEB j'ai compilé cette petite statistique sur les attaques les plus fréquentes sur le port 80 (Https est hors de portée de Suricata, mais Modsec est là pour le Https).
Tableau numéro 1 par pays (certains pays sont absents car bloqués au niveau du pare-feu : Chine, Russie ...).

Code Nom du pays Nbr hits
TH Thaïlande 591
US États-Unis 492
KR République de Corée 182
ES Espagne 170
TW Taïwan 154
MY Malaisie 144
FR France 115
CZ République Tchèque 113
HU Hongrie 102
DE Allemagne 69
IP NULL 32
IT Italie 31
BE Belgique 30
FI Finlande 27

Tableau numéro 2 par type d'attaque :

CTR Libellé
325 Web attack phpmyadmin
210 WEB attack /wp-login.php
134 WEB Attack /admin
78 Web attack /pma
77 WEB attack acces mysql
71 WEB Attack setup.php
67 WEB Attack /user/register
59 ET EXPLOIT HackingTrio UA (Hello, World)
55 WEB Attack /test
40 WEB Attack /muhstik
38 ET SCAN ZmEu Scanner User-Agent Inbound
35 WEB attack myadmin
35 Web Attack : /myadmin/script
35 Web attack /scripts/
30 Web Attack /admin/phpmy...
29 ET WEB_SPECIFIC_APPS Drupalgeddon2 <8.3.
29 Web attack /cmd
29 WEB Attack xmlrpc.php
29 WEB Attack /plugin
27 ET WEB_SPECIFIC_APPS [PT OPEN] Drupalged
26 WEB Attack '/web'
26 ET SCAN Possible Nmap User-Agent Observe
25 Web attack /s.php
24 WEB Attack ?q=user/password
21 WEB Attack '/xw'
21 Web Attack : /administrator
20 Web attack sur HNAP1
20 WEB Attack /shell
20 WEB attack /dbadmin
19 Web Attach /lala...
19 WEB Attack '/plugins/wea'
18 Web Attack : /pmamy..
18 WEB Attack /admin/pma
17 WEB Attack /phpadmin
16 Web attack /wordpress
15 Web Attack /wp-content
15 ET WEB_SERVER Exploit Suspected PHP Inje
15 WEB Attack /data
12 WEB Attack /vuln.php
12 WEB Attack alpengruss.it
11 WEB Attack '/w.php'
11 Web attack /sheep
11 WEB attack /db/..
11 Web attack /web/
11 WEB attack /mysqladmin
11 WEB Attack '/manager'

On voit ici que les attaques enregistrées sont des attaques "simples" faisant, en général, référence à des bugs logiciels (par exemple /wp-login.php), de mauvaises configurations ou l'installation de logiciels spécifiques. Il est par exemple très imprudent de laisser un "Phpmyadmin" accessible sur Internet, même si le répertoire principal est rebaptisé "pma".