[honeypot Web] – Statistiques des attaques WEB sur malekal.com

Il y a quelques temps, j’avais fait un billet d’une présentation brève de modsecurity:  http://www.malekal.com/2013/08/12/presentation-modsecurity-pour-apache/
Aujourd’hui, je me suis « amusé » à faire un petit site de statistiques qui reprend les attaques faites sur le serveur WEB, le transformant donc, un peu, en honeypot WEB : http://www.malekal.com/modsec/index.php

Les statistiques des attaques :

modsec_analyse_attaque

Les pics des attaques sont dus à des bruteforce WordPress – j’en avais parlé là : http://www.malekal.com/2013/08/12/wordpress-authenfication-bruteforcer/
Par exemple, le 12/10, il y a eu 9437 hits et 8325 le 19 Septembre sur la page wp-login.php du WordPress.

NOTE : quelques bruteforce sont dus à des spams qui tentent de se logguer sur WordPress mais ça reste assez minimum.

On retrouve les attaques sur les statistiques munin de Varnish (pics bleus) :

modsec_analyse_attaque10

Ci-dessous un graph par type d’attaque (en retirant les attaques par Bruteforce, sinon on voit quedalle, comme elle survole de loin les autres attaques).
On retrouve :

NOTE : Le XSS est général dû à des blocages de messages de spam.

La majorité des attaques (or bruteforce), sont donc du SPAM et des tentatives RFI timthumb) et quelques SQL Injection (soit des scans, soit des tentatives isolées).
Ce sont souvent les mêmes groupes qui bouclent.

modsec_analyse_attaque2(si Picasso avait connu Google Charts, il aurait fait de magnifiques oeuvres d’art :p)

modsec_analyse_attaque3
Les attaques par pays, le premier étant les USA.
La Chine, la Russie et la France sont au coude à coude.

NOTE : les IPs ADSL FR sont écartées.
modsec_analyse_attaque4

Deux graphs par netname.
Le premier sont les attaques brutes, le second par IP uniques.

Dans le premier graph, OVH est le premier (d’où la bonne position de la France dans le graph précédent), suivi de la Chine.
VOXILITY est pas mal non plus (Roumanie).
Les attaques sont souvent dues à 3/4 IPs qui bouclent sur plusieurs jours. – On constate donc que ce sont surtout des IPs OVH qui bouclent.
D’ailleurs sur 4840 attaques on a 3273 attaques par des IPs uniques – ce qui fait environ 33% de redondance.
Et sans les attaques BruteForce, on obtient 3534 IP pour 2537 IPs uniques, ce qui fait environ 29% de redondance.

Sur le second graphique, TurkTelecom est premier suivi CHINANET-FJ et HINET-NET.

  • 84 IPs uniques pour CHINANET-FJ
  • 68 IPs uniques pour HINET-NET
  • 54 IPs uniques pour OVH

modsec_analyse_attaque5

 

Le top 20 IP, on retrouve en premier 3 IPs OVH, suivi de VOXILITY (Roumanie)

modsec_analyse_attaque6

Un mot sur les abuses

Le script qui alimente la base, envoie aussi un mail (et peux iptables les IPs), ce qui permet de forwarder certaines alertes aux abuses.
Et là y a un peu de tout (normal), certains abuses ne répondent pas, d’autres ont des gestions de tickets et prennent très aux sérieux les alertes avec réponse stipulant que le client a été notifié ou serveur nettoyé etc.

modsec_analyse_attaque8

Je voudrais pas balancer mais il y a même des adresses d’abuse, dans les whois, qui sont erronées 😀

modsec_analyse_attaque9

Dans les abuses qui ne semblent pas faire leur boulot, on retrouve OVH.
Par exemple, l’IP 192.99.4.25 tente de spammer tous les jours – malgrè avoir contacté l’abuse tous les jours, cela continue.
Cela explique, certainement, le fait qu’OVH soit dans les premiers au niveau des stats des attaques.

De même, l’IP chez VOXILITY-SRL spam tous les jours depuis le début de la mise en place des statistiques :  http://www.malekal.com/modsec/index.php?ip=93.115.94.85

modsec_analyse_attaque7

Voila, j’espère que cela vous a plu, perso, j’ai bien aimé car cela donne un aperçu de ce qui se passe au niveau des attaques et abuses.
Les statistiques tournent reprennent les données depuis mi-septembre 2013, j’éditerai le sujet, si des choses intéressantes  se pointent.

EDIT – 11 Mars

Petit retour sur les statistiques 12311 attaques et 8119 attaques par des IPs uniques depuis le 24/09/2013 avec une belle dégringolade :

OVH_has_moved

 

On l’a doit au fait qu’OVH a bougé – Les IPs dans le top 10 ont été coupées le 20 Février au soir :
http://www.malekal.com/modsec/index.php?ip=192.99.4.25
http://www.malekal.com/modsec/index.php?ip=37.59.32.148
http://www.malekal.com/modsec/index.php?ip=46.105.114.75
http://www.malekal.com/modsec/index.php?ip=91.121.170.197

Vu la date, je pense que cela fait suite à cette série de tweets : https://twitter.com/malekal_morte/status/436538818158919680

Au moins, une bonne chose de faite !

EDIT – Août 2014

Quelques améliorations avec un paufinage des statistiques par type d’attaques.
On voit que le SPAM explose depuis quelques semaines sur le graph ci-dessous.
Dans le graphique par secteur, on peux aussi constater qu’il y a plus d’attaques Joomla JCE que de WordPress TimThumb, ce qui est assez étonnant pour un site comme le miens qui est en WordPress.
Cela prouve que les pirates balancent les attaques à l’aveugle.

Honeypot_modsec_statisticsAjoutés aussi des liens vers des statistiques par type, exemple : http://www.malekal.com/modsec/graph_categories.php?t=1&a=spam
Dans la capture ci-dessous, on constate que la Chine est de loin, la première nation en attaque par SPAM.

Honeypot_modsec_type_attack

Enfin, un graph dans les pages netname afin d’avoir une idée des évolutions dans le temps.
Pour le netname CHINANET-FJ, on constate une explosion des attaques depuis quelques jours sur la capture ci-dessous lié aux attaques par SPAM.
=> http://www.malekal.com/modsec/index.php?netname=CHINANET-FJ

Honeypot_modsec_netname

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 81 times, 1 visits today)

One thought on “[honeypot Web] – Statistiques des attaques WEB sur malekal.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *