Internet

Comment surveiller votre site Web pour détecter les cyberattaques et les arrêter

En tant que rédacteur technique titulaire d’une maîtrise en informatique, j’écris des essais pédagogiques pour améliorer la compréhension de sujets tels que celui-ci.

Même si les États-Unis ont un Cyber ​​​​Command for Cybersecurity, ils manquent toujours de cette solution simple pour arrêter les menaces dans leur élan.

Même si les États-Unis ont un Cyber ​​​​Command for Cybersecurity, ils manquent toujours de cette solution simple pour arrêter les menaces dans leur élan.

De nombreuses entreprises ne parviennent pas à protéger leurs sites Web contre les cyberattaques, ce qui permet aux pirates de trouver un accès détourné pour voler les données des clients. Un exemple extrême a été une fuite de données d’un serveur Facebook en 2019 où des pirates ont localisé des informations personnelles sur 419 millions d’utilisateurs.1

Je vais vous montrer une solution que j’ai implémentée sur mon site Web pour bloquer les robots à la recherche de moyens d’entrer automatiquement en temps réel.

Comment surveiller un site Web pour les tentatives de piratage

J’ai pris les mesures suivantes pour surveiller et arrêter les attaques sur mon site Web au fur et à mesure qu’elles se produisent. Bien entendu, les grandes entreprises et les agences gouvernementales peuvent également protéger leurs ordinateurs de cette manière. Mais ce n’est pas le cas, comme en témoignent tous les rapports de vol de données de clients.

Le processus est si simple avec du code pour surveiller et découvrir les cyber-attaques qui cherchent à compromettre la sécurité.

Vous connaissez peut-être la page sur les sites Web qui vous indiquent que vous avez atteint une page inexistante. C’est ce qu’on appelle une page d’erreur 404. Si vous cliquez sur un lien vers une page qui n’existe plus ou si vous tapez mal une URL, vous obtiendrez cette erreur 404.

J’ai utilisé cette condition d’erreur pour capturer des informations sur les visiteurs qui ont reçu une erreur 404. Et plus important encore, le code logiciel que j’ai écrit suit leur activité en temps réel pour déterminer s’ils tentent de pirater ma base de données.

Je capture des informations telles que :

  • L’adresse IP des visiteurs
  • Leur emplacement dans le monde
  • Le site et la page qu’ils consultaient avant d’accéder à mon site Web
  • La page qu’ils essayaient de voir
  • Le navigateur Web qu’ils utilisaient
  • Certaines de leurs informations système

Comment pouvez-vous utiliser ces informations pour bloquer les pirates ? L’astuce consiste à l’automatiser.

Un grand nombre d’erreurs 404 simultanées provenant de la même adresse IP indique un piratage possible. Lorsque je recherche leur authenticité DNS, cela indique parfois : « Peut être falsifié : le nom d’hôte n’existe pas ». Je trouve que c’est un indice évident que le visiteur ne prépare rien de bon.

A lire aussi :  5 gestionnaires de mots de passe pour sécuriser vos données

Il est assez facile d’écrire une routine pour bloquer automatiquement les robots pirates. J’expliquerai un peu plus tard comment automatiser le processus pour bloquer les pirates et stopper les cyber-attaques. Mais nous devons commencer par un examen de la façon de suivre l’activité de piratage.

Comment suivre l’activité de piratage sur un site Web

J’ai programmé mon site Web pour m’envoyer des e-mails de tentatives de piratage avec toutes les données. Je peux donc voir ce qu’ils essaient d’accomplir. Il s’agit généralement d’une recherche pour trouver un accès par porte dérobée, des scripts d’administration, des scripts de base de données SQL et un code de configuration PHP. Ce type d’activité indique une tentative d’accès à mon serveur via l’une de ces routines.

Je remarque que ces tentatives ont toujours des adresses IP de pays étrangers tels que la Chine, le Japon, le Bangladesh, l’Inde, la Russie, le Brésil, l’Ukraine, la Lituanie et la Jordanie. Il est rare d’attraper un hacker américain

Certaines de ces attaques sont si vicieuses qu’elles consomment beaucoup de bande passante, atteignant des centaines de pages inexistantes en quelques secondes. Ils espèrent trouver une porte dérobée pour se connecter et obtenir des informations vitales.

Faites défiler pour continuer

Je conserve mes dossiers clients hors ligne sans connexion à Internet de quelque manière que ce soit. De plus, je n’ai aucun script en ligne qui permettrait d’accéder à mes données, mais les pirates ne le savent pas.

Vous vous demandez peut-être pourquoi je suis touché par ces attaques. Les criminels qui exécutent le code pour ce faire ne s’en prennent à aucune personne ou entreprise en particulier. Au lieu de cela, leurs robots analysent de manière aléatoire toutes les adresses IP, de sorte qu’ils finissent par toucher tous les serveurs informatiques et que les sites Web s’exécutent sur des serveurs informatiques.

Ils finiront par trouver un site Web commercial ou gouvernemental facile à pénétrer. Lorsqu’ils trouvent un site Web non sécurisé, ils peuvent planter du code exécutable pour rechercher des informations utiles telles que les dossiers des clients.

Comment les pirates accèdent aux données du site Web

Depuis que j’ai un logiciel pour suivre ce que les pirates recherchent, j’ai découvert une recherche ciblée particulière qui se produit presque tous les jours. Les pirates recherchent un fichier du nom de crossdomain.xml.

je n’ai pas ce fichier sur ma serveur, mais ils continuent à scanner les ordinateurs jusqu’à ce qu’ils le trouvent sur n’importe quel serveur quelque part. Il peut s’agir d’une installation gouvernementale ou d’un gros ordinateur de bureau. Finalement, ils en trouvent un qui a ce fichier, et une fois qu’ils l’ont fait, ils ont une journée sur le terrain pour collecter des données.

A lire aussi :  Plus de 100 légendes Instagram amusantes pour les couples

Le but du code de ce fichier est de permettre aux utilisateurs d’autoriser d’autres sites à lire ses données. Généralement, JavaScript, Flash et Java limitent la lecture des données du même site Web dans le même domaine. Cependant, autoriser l’accès aux données entre domaines ouvre la porte à des problèmes.

Je suis choqué que tant d’entreprises laissent ce code sur leurs sites Web. Et pire, ils ne le surveillent pas de près pour savoir qui y accède. Étant donné que je trouve des pirates informatiques à la recherche de cela tous les jours, je pense que cela doit être assez répandu. Je me demande si certains Webmasters ne réalisent même pas qu’ils l’ont sur leur serveur.

En surveillant les tentatives de cyberattaques sur mon site, je vois également de nombreux bots chercher un moyen d’accéder à WordPress.

Je n’utilise pas WordPress. Au lieu de cela, j’écris mon propre code. Mais les pirates ne le savent pas, et leurs bots recherchent simplement les vulnérabilités connues de WordPress de toute façon.

Environ 70 % des sites WordPress n’incluent pas de mises à jour de sécurité ou utilisent un logiciel WordPress obsolète vulnérable aux cyberattaques. Cette statistique est tirée d’une étude réalisée par Sandro Gauci, PDG d’EnableSecurity.2 Les pirates en profitent pour défigurer ou voler des données.

Comment bloquer les pirates et arrêter les cyberattaques

Cette dernière section est destinée aux programmeurs Web qui souhaitent implémenter le code sur leur site. Mais toute personne intéressée peut suivre.

Créez un fichier 404.php et spécifiez qu’il s’agit de la page à afficher lorsque quelqu’un clique sur une page inexistante ou entre dans une page inexistante dans son navigateur. Cette méthode capturera également les bots qui parcourent Internet, à la recherche de scripts de porte dérobée qui autorisent l’accès.

Faites en sorte que la page affiche une erreur amicale indiquant à un visiteur légitime qu’il est tombé sur une page inexistante. Incluez des options pour se repérer sur votre site Web.

Maintenant pour la partie critique :

Écrivez du code PHP qui surveille les attaques de pirates. La méthode consiste à suivre le nombre de requêtes qui se sont soldées par une erreur 404 par la même adresse IP dans un délai spécifié, disons 30 secondes.

Si plus d’erreurs se produisent qu’un nombre raisonnable pour un humain, il s’agit très probablement d’un bot cyber-pirate. Examinez les demandes de fichiers qui incluent SQL, admin, cross-domain, login, scripts, setup et tout ce qui pourrait fournir une méthode d’accès à un pirate.

S’il y a une correspondance, vous pouvez supposer en toute sécurité qu’il s’agit d’un pirate informatique. Personne d’autre ne chercherait ces types de scripts et n’obtiendrait des erreurs 404 continues lors de la recherche.

A lire aussi :  Qu'est-ce qu'un Mukbang ? - TurboFuture

L’étape suivante de la routine PHP consiste à capturer les données suivantes :

  • Le référent HTTP (d’où ils viennent)
  • Le statut de redirection (code de statut)
  • L’agent utilisateur HTTP (informations sur le navigateur)
  • La signature du serveur (informations sur le serveur Web)
  • Toute autre donnée que vous pourriez vouloir suivre

Écrivez du code PHP supplémentaire qui bloque cette adresse IP. Sur un serveur Apache, vous faites cela en ajoutant un enregistrement de refus au fichier « htaccess ». C’est l’astuce pour bloquer le pirate, et cela ne prend que quelques millisecondes.

Vous pouvez également inclure du code PHP pour envoyer les détails de la tentative de piratage à l’adresse e-mail d’un administrateur pour un suivi, ou vous pouvez publier ces informations dans un fichier de rapport qui peut être imprimé ultérieurement pour examen.

Une base de données centrale des adresses IP des pirates est absolument nécessaire

Il serait utile de partager les adresses IP collectées auprès des pirates avec d’autres ordinateurs du bureau de terrain. De cette façon, ils peuvent également bloquer tous les pirates découverts.

Avec cette méthode, les cyber-pirates peuvent être arrêtés en temps réel avant qu’ils ne réussissent à pénétrer et à compromettre un serveur. S’ils réessayent à partir d’une adresse IP différente, celle-ci sera également bloquée en temps réel. Ils n’auront aucune chance !

Une autre façon d’améliorer cette implémentation consiste à envoyer les adresses IP des pirates à une base de données centrale. Je pense que le Cyber ​​​​Command des États-Unis pour la cybersécurité serait juste le bon endroit pour ça!

Il existe actuellement plusieurs sites sur lesquels vous pouvez signaler les pirates. Même le FBI dispose d’un « centre de dépôt de plainte » en ligne qui comprend le signalement des intrusions informatiques et du piratage.3 Cependant, les données doivent être saisies par un humain et cela prend du temps. J’aimerais que les webmasters puissent utiliser une API pour envoyer des données en temps réel lorsque cela se produit, mais ils ne fournissent pas d’interface pour le faire.

Je pense que tous les webmasters doivent travailler ensemble pour contrôler la cybercriminalité. Ensuite, ils peuvent fermer la porte à ces attaques, et Internet peut être beaucoup plus sûr pour nous tous.

Carte mondiale en temps réel des attaques sur Internet

Références

  1. Priyanshu Sahay. (4 avril 2021). « Données Facebook piratées – 500 millions de comptes divulgués en ligne. » HackersOnLineClub.com
  2. Wayne Mullins. (2 janvier 2020). « Comment augmenter la sécurité lors du développement d’un site WordPress » – UpdraftPlus
  3. Centre de plainte contre la criminalité sur Internet du FBI

Ce contenu est exact et fidèle au meilleur de la connaissance de l’auteur et ne vise pas à remplacer les conseils formels et individualisés d’un professionnel qualifié.

© 2011 Glenn Stok

Bouton retour en haut de la page