Bloquer une attaque bruteforce en urgence
Définition d’une attaque Brute Force
Une attaque par force brute est une méthode de hacking très utilisé sur internet pour trouver un mot de passe. Cette attaque consiste à tester, une à une, toutes les combinaisons possibles jusqu’à trouver la bonne combinaison.
C’est un véritable fléau pour votre site internet puisqu’une attaque peu rapidement utilisé toute la bande passante de votre offre d’hébergement voir pire se transformer en une attaque DDOS et faire crasher votre serveur en le rendant inaccessible.
Comment identifier une attaque Brute Force
Si votre site met plus de temps à répondre que d’habitude. Si votre fichier de log access comporte des lignes qui ne trompe pas (comme des tentatives accès en masse à la page wp-login.php ou wp-admin de votre WordPress). Avec une attaque en cours vous pouvez ne plus avoir accès à votre site.
Il existe aussi des plugins WordPress pour identifier et bloquer ce genre d’attaque. Mais si vous n’en avais pas installé et que vous n’avez plus accès à votre admin car votre serveur est surchargé de tentative de connexion vous pouvez essayer de vous connecter en SSH pour vérifier que vous êtes bien la cible d’une attaque par Brute Force. Avec la commande “top” on le vois direct !
Bloquer une attaque par Brute Force
Ma méthode est radicale ! Si le serveur est surchargé, chose que je vois rapidement avec la commande “top” en SSH. Je “tue” les processus en cours.
Pour moi c’est la commande :
1 |
killall -KILL php-cli |
Ensuite j’édite le htacces qui est à la racine du site attaqué.
Pour y placer une interdiction d’accès aux pages ciblés sauf pour moi, grâce à mon ip.
Je récupère mon ip grâce au site http://www.mon-ip.com/ par exemple 80.15.78.23
Puis je met ce code dans mon htaccess si la cible de l’attaque est un WordPress
1 2 3 4 5 |
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^80\.15\.78\.23$ RewriteRule ^(.*)$ - [R=403,L] |
Ainsi tout ceux qui cherchent à accéder à la page wp-login.php et wp-admin auront une erreur 403.
Au lieux d’une 403 on pourrais aussi faire une 301 vers la page login d’un concurrent 😀
Cette astuce permet de soulager le serveur et de prendre le temps de trouver une meilleur solution 😉
Permalien : https://www.black-hat-seo.org/hacking/brute-force/bloquer-attaque-bruteforce-urgence