Après quelques semaines d'utilisation de Suricata en protection d'un serveur WEB j'ai compilé cette petite statistique sur les attaques les plus fréquentes sur le port 80 (Https est hors de portée de Suricata, mais Modsec est là pour le Https).
Tableau numéro 1 par pays (certains pays sont absents car bloqués au niveau du pare-feu : Chine, Russie ...).
Code | Nom du pays | Nbr hits |
TH | Thaïlande | 591 |
US | États-Unis | 492 |
KR | République de Corée | 182 |
ES | Espagne | 170 |
TW | Taïwan | 154 |
MY | Malaisie | 144 |
FR | France | 115 |
CZ | République Tchèque | 113 |
HU | Hongrie | 102 |
DE | Allemagne | 69 |
IP | NULL | 32 |
IT | Italie | 31 |
BE | Belgique | 30 |
FI | Finlande | 27 |
Tableau numéro 2 par type d'attaque :
CTR | Libellé |
325 | Web attack phpmyadmin |
210 | WEB attack /wp-login.php |
134 | WEB Attack /admin |
78 | Web attack /pma |
77 | WEB attack acces mysql |
71 | WEB Attack setup.php |
67 | WEB Attack /user/register |
59 | ET EXPLOIT HackingTrio UA (Hello, World) |
55 | WEB Attack /test |
40 | WEB Attack /muhstik |
38 | ET SCAN ZmEu Scanner User-Agent Inbound |
35 | WEB attack myadmin |
35 | Web Attack : /myadmin/script |
35 | Web attack /scripts/ |
30 | Web Attack /admin/phpmy... |
29 | ET WEB_SPECIFIC_APPS Drupalgeddon2 <8.3. |
29 | Web attack /cmd |
29 | WEB Attack xmlrpc.php |
29 | WEB Attack /plugin |
27 | ET WEB_SPECIFIC_APPS [PT OPEN] Drupalged |
26 | WEB Attack '/web' |
26 | ET SCAN Possible Nmap User-Agent Observe |
25 | Web attack /s.php |
24 | WEB Attack ?q=user/password |
21 | WEB Attack '/xw' |
21 | Web Attack : /administrator |
20 | Web attack sur HNAP1 |
20 | WEB Attack /shell |
20 | WEB attack /dbadmin |
19 | Web Attach /lala... |
19 | WEB Attack '/plugins/wea' |
18 | Web Attack : /pmamy.. |
18 | WEB Attack /admin/pma |
17 | WEB Attack /phpadmin |
16 | Web attack /wordpress |
15 | Web Attack /wp-content |
15 | ET WEB_SERVER Exploit Suspected PHP Inje |
15 | WEB Attack /data |
12 | WEB Attack /vuln.php |
12 | WEB Attack alpengruss.it |
11 | WEB Attack '/w.php' |
11 | Web attack /sheep |
11 | WEB attack /db/.. |
11 | Web attack /web/ |
11 | WEB attack /mysqladmin |
11 | WEB Attack '/manager' |
On voit ici que les attaques enregistrées sont des attaques "simples" faisant, en général, référence à des bugs logiciels (par exemple /wp-login.php), de mauvaises configurations ou l'installation de logiciels spécifiques. Il est par exemple très imprudent de laisser un "Phpmyadmin" accessible sur Internet, même si le répertoire principal est rebaptisé "pma".