Suivre

Examen du journal d'un serveur HTTP. La page la plus populaire, de loin, est /wp-login.php

Faudrait peut-être que j'y mette des pubs ?

@framasky @nino J'ai cherché sur Internet des recettes pour fabriquer une telle bombe, mais je n'ai rien trouvé. IL faut que j'aille sur le darkweb ?

C'est pas un peu à double tranchant cet système de bombe ?
Ce serait pas un parfait point d'attaque pour DDOSser le serveur ?

@bortzmeyer @framasky @nino

@athanael @framasky @nino Une bombe de décompression est un fichier minuscule (donc qui ne charge pas le serveur) mais qui est énorme une fois décomprimé (donc qui tue le client).

Yes, indeed.
Donc j'ai du en voir passer une mauvaise variante il y a quelques jour à base de readfile('hugeFile.zip");

@bortzmeyer @framasky @nino

Mon top 10 (par nombre de hits*) :
/wp-login.php 598976
/administrator/ 27101
/admin.php 11191
/blog/ 10170
/ads.txt 9074
/license.txt 8548
/administrator/?option=com_login 8135
/wp-admin/ 8039
/wordpress/ 7921
/blog/robots.txt 7537

*Ce nombres sont "déformés" car on a mis en place un WAF basé sur ces URL "à la con"...
La proportion de scans wp reste énorme face à la "concurrence"...

@bortzmeyer @framasky @nino

@athanael @bortzmeyer @nino J'imagine que c'est du PHP. Je pense pas que readfile décompresse le fichier, donc pas de souci pour le serveur.

Je n'ai qu'un vague souvenir mais en gros c'était une zip bomb non zippée, donc le serveur devait servir un mega.fichier.zip de 42Go...

((Me demande si c'était pas ici même, et si @framasky était pas dans le fil, vais rechercher ça...))

@bortzmeyer @nino

Found : framapiaf.org/@sebsauvage/1010

Zip de 200Mo --> résultat final de 200Go.

Mais ça reste un zip de 200Mo à envoyer par le serveur.
Dans le fil un des intervenants semble avoir testé : toots.benpro.fr/@benoit/101070

Et la logique me semble tenir : Ressource pour demander le fichier de 200Mo <<< Ressource pour servir et envoyer le fichier de 200Mo.

Donc même dans une config "normale" le bot arrive, demande 20 urls piégées, le serveur doit servir 20x200Mo...

Me goure-je ?

@framasky @bortzmeyer @nino

@athanael @bortzmeyer @framasky tu ne fais pas allusion à un truc fait avec truncate ? Genre 'truncate -s 10E' ?

Non, c'était bien l'exemple de @sebsauvage
Mais je veux bien voir cette variante...

@nino @bortzmeyer @framasky

Oui là, avec cette base ça devient "potable".

Mais le souvenir que j'avais de la discussion précédente était bon, utiliser un "détonateur" de 200Mo ce n'est pas "viable"...

@framasky @sebsauvage @nino @bortzmeyer

@athanael @framasky @bortzmeyer @nino

Non c'était un fichier de 200 Mo qui décompressé fait plus de 200 Go côté client.

Oui oui j'ai retrouvé ça par la suite... (en écrivant 42Go j'ai légèrement exagéré ;-) )

Du coup dans cette précédente discussion @benoit avait fait un test, à priori concluant, de DDOS...

Et effectivement répondre à des bots-harceleurs en envoyant un zip de 200mo n'est pas économe.
Utiliser le fichier précédemment cité de 42Ko semble bien plus pertinent (s'il est effectif)...

@sebsauvage @framasky @bortzmeyer @nino

@bortzmeyer @athanael @framasky @nino
Testé à l'instant, en zippant un fichier rempli de 0 (généré avec un dd if=/dev/zero) faisant 7 Go, le fichiez .zip fait 7 Mo (soit 1000 fois moins)

@framasky @bortzmeyer @nino

mmm... par contre ce 42.zip ça implique que le client va décompresser récursivement les zip imbriqués, non ?
Ça me semble assez peu probable.

J'aurais préféré un zip qui donne directement des téra-octets ^^ mais je ne crois pas que ça soit faisable.

Le truc de la bomb gz de 200 Mo, c'est que ça balance 200 Go côté client d'une traite, de quoi le ralentir.

@framasky @bortzmeyer @nino

Après oui, si quelqu'un télécharge de manière répétée 200 Mo, ça peut ralentir mon serveur, mais je crois que celui qui se prend les 200 Go de manière répétée va plus ralentir que moi ^^

S'il est là pour du scan ou du bruteforce, c'est probable...

Mais une fois qu'il aura pris ce coup de marteau de 200Go il passera peut être en mode DDOS et ne traitera même pas les réponses à ses requêtes...

@sebsauvage @framasky @bortzmeyer @nino

@athanael @bortzmeyer @framasky @sebsauvage /me va monter un site bidon sur un hébergement sans limite d'upload et va mettre plusieurs Ectaoctets à télécharger sur /wp-admin.

Il va y avoir des comptes AWS de script kiddies qui vont sauter !

@framasky @nino Avec Apache :
Redirect permanent /wp-login.php /kill-bots.zip
<Files kill-bots.zip>
AddType text/html .zip
AddEncoding gzip .zip
</Files>

@bortzmeyer
@framasky @nino
Dis donc t'as vachement confiance en la capacité de discernement de la police pour poster un truc comme ça... fait quand même chauffer le thé pour le raid... au cas où... il parait qu'il sont un peu fatigué en ce moment 😃🤣

@bortzmeyer

aïe 😓
#WordPress quoi ...

c'est quoi la manip' pour voir ça ?

@bortzmeyer

ok ok :p, je ne connais pas awk ...
Étant artisan de site Wordpress, si tu as quelques commandes ou lien sur le sujet, je suis preneur

@sibfactory Ce qui est amusant est que le site en question n'utilise pas du tout Wordpress (vu que je n'ai pas envie de me faire pirater).

@bortzmeyer Les rediriger ? Comme ce que je fais sur mon blog

www.shaftinc.fr/wp-login.php

⚠ Redirige vers Google (Je voulais mettre un système qui redirige vers Google, Qwant ou 🦆🦆Go au hasard – vu que les 3 sites acceptent la requête ?q mais je n'avais pas réussi à le faire :) )

@Shaft Je redirige vers une zipbomb. Dommage de ne pas savoir si le client a vraiment crashé.

@bortzmeyer J'ai mis une belle Zip Bomb sur un de mes sites ^^

@bortzmeyer non, blacklist l'IP surtout, vu qu'elle essaie de te pirater :)

@Keltounet Cela vient évidemment de dizaines d'adresses IP différentes.

@bortzmeyer Les logs de http(s)://204.62.14.153 et http(s)://www.bortzmeyer.org tombent dans le même fichier ? J'ai fais le choix que tout ce qui attaque l'IP ne soit pas enregistré dans les logs et génère un 444 car dans à peu prêt 100% des cas, il s'agit de scripts kiddies.
Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Vive les gougères ! mnt-by: @yapret @papaeng89