OVH Community, your new community space.

attaque de mon serveur


bzh
10/10/2015, 12h42
Bonjour,
je suis à la recherche d'aide mon serveur hier a été victime d'un piratage (compte rendu ci-dessous) aujourd'hui il est très difficile d'ouvrir mon site. Je suis à la recherche d'aide car je suis incapable de gérer ce genre de souci
merci à vous


Le pirate essayait de se connecter sur le XMLRPC du wordpress, à raison de plusieurs requêtes par secondes (100000+ par jour), probablement pour trouver les identifiants du blog ou une clef qui permet l'écriture. Voici les traces dans /var/log/apache2/access.log qui m'ont mis sur la piste :

89.248.168.29 - - [07/Oct/2015:19:53:28 +0200] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
89.248.168.29 - - [07/Oct/2015:19:53:28 +0200] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
89.248.168.29 - - [07/Oct/2015:19:53:29 +0200] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
89.248.168.29 - - [07/Oct/2015:19:53:30 +0200] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"


En fait il ne s'agissait pas du tout d'un google bot, qui ne ferait pas du tout autant de requêtes et n'irait pas non plus sur xmlrpc.php.

J'ai bloqué l'adresse IP 89.248.168.29 directement sur le virtualhost apache, ici : /etc/apache2/sites-enabled/000-default.

Il y a toujours les requêtes qui sont faites sur le serveur (on peut le voir sur access.log), mais elles génèrent directement une erreur 403 et ne mangent pas les ressources du serveur.