Passer au contenu principal

Le retour des Script Kiddies

Depuis quelques mois, le site web de JP Software (https://jpsoft.com) fait l'objet d'attaques quotidiennes croissantes de la part d'une variété d'aspirants hackers incompétents. Originaires principalement de Chine, ils tentent perpétuellement d’obtenir un accès root au serveur ou un accès administrateur au serveur de messagerie.

La raison pour laquelle ils essaient de faire la première chose est un mystère (à moins que ce ne soit juste pour des raisons de vandalisme aléatoire), puisque nous ne conservons aucun dossier client ni aucune information de carte de crédit sur le serveur, et nous ne promouvons aucune politique. ordre du jour. Même accéder au serveur de messagerie semble inutile, car il est assez facile de trouver un FAI disposé à vous laisser envoyer du spam à tout le monde dans la création. Heureusement, jusqu’à présent, leur stupidité dans la sélection des cibles a été compensée par leur incompétence dans l’exécution des attaques. Hormis quelques brefs ralentissements du DOS, ils n’ont réussi à causer aucun dommage ni à obtenir l’accès. Mais ils sont persistants, alors j’ai décidé qu’il était temps de durcir un peu l’objectif.

La première chose à faire était d'installer un pare-feu sur le serveur. Nous avons un VPS via KnownHost, et même si j'ai été un peu surpris de constater que nous n'avions pas de pare-feu installé par défaut, c'était un processus simple pour ajouter csf/lfd au serveur. Cette action à elle seule a éliminé presque toutes les attaques du serveur de messagerie en bloquant (de manière permanente) toute personne ayant plusieurs tentatives de connexion rejetées.

L'étape suivante consistait à ajouter un proxy devant jpsoft.com pour tenter de filtrer au moins certaines des attaques basées sur le Web. Après avoir expérimenté plusieurs alternatives, nous avons opté pour CloudFlare. CloudFlare est issu du projet Honey Pot et peut identifier et bloquer diverses menaces, notamment le spam de commentaires, la collecte d'e-mails, l'injection SQL, les scripts intersites et les attaques DOS (non cataclysmiques). Tout le trafic HTTP passe d'abord par CloudFlare, et si la demande est jugée valide et que les données ne sont pas déjà mises en cache dans le centre de données CloudFlare, elles sont transmises au serveur JP Software pour traitement. Un effet secondaire heureux de CloudFlare est qu'il agit également comme un CDN, ce qui permet au site Web de JP Software de se charger environ 40 % plus rapidement qu'auparavant ! Il existe une version gratuite de CloudFlare qui offre une certaine sécurité et l'essentiel de l'accélération, mais nous avons opté pour la version Pro (20 $/mois) qui ajoute plus de sécurité (et un peu plus de vitesse).

Dans le même temps, nous avons également ajouté un « vrai » CDN (MaxCDN), pour gérer les images png et jpeg de notre site Web, ainsi qu'une partie du javascript. Cela et quelques ajustements supplémentaires du code HTML et des images nous ont donné une augmentation supplémentaire de 50 % de la vitesse.

Résultat final ? Grâce à quelques adolescents chinois têtus (mais idiots), JP Software dispose d'un serveur plus sécurisé qui fait tourner notre site Web environ deux fois plus vite qu'auparavant.

Si quelqu'un a des suggestions sur les mesures supplémentaires que nous pourrions prendre, ou si vous avez des questions sur nos expériences CloudFlare, faites-le-moi savoir.