Attaques moi, je ne te dirai rien

Ce n’est pas vraiment nouveau, pour tous ceux d’entre vous qui ont un site internet et/ou un serveur dédié et qui regardent un minimum leurs logs, les attaques sont monnaie courante sur internet même pour des sites qui n’ont pas forcement beaucoup de trafic.

Entre les traditionnels bots qui viennent scanner la présence d’un phpmyadmin, les tentatives d’injections SQL, les tentatives d’accès à des fichiers sensibles, les tentatives de connections ssh et ftp, j’en passe et des meilleures, je finis par ne plus trop m’attarder sur ce que je vois dans mes logs. Pourtant, je vais déroger à cette règle.

Il y a quelques jours, je découvre une tentative assez banale d’accéder, sur un autre site perso, au fichier /etc/password de mon serveur dédié. Ayant la chance d’avoir un terminal ouvert sur les logs de mon site à ce moment là, je bannis rapidement l’ip de l’assaillant. Petit whois sur l’ip pour connaître sa provenance, ip au Cameroun. Petit mail à l’abuse renseigné, et zou terminé.

Ca aurait pu s’arrêter là, mais n’étant pas particulièrement occupé et étant de nature curieuse, j’enlève la règle iptables mise en place pour bannir l’ip. Immédiatement les tentatives reprennent, sans trop de surprise. C’est alors que j’ai fais une découverte un peu plus surprenante. Je rentre l’ip dans mon navigateur et j’y découvre un site qui se prétend être celui du Ministère de la Communication du Cameroun. Pensant à une tentative de Phishing, j’effectue une petite recherche pour trouver le site du Ministère en question. Le site est identique. Dernière vérification avant de tenter de contacter quelqu’un de compétent en la matière pour que l’info soit remontée, je regarde l’ip associé au nom de domaine du site officiel du ministère. Et quel ne fut pas ma surprise de découvrir que l’ip présente dans mes logs correspond à la seule ip associé au nom de domaine.

Encore un bel exemple de manque de sécurisation …

Un petit extrait des logs :

%d blogueurs aiment cette page :