Nouvelles restrictions d’accès
Pour essayer de soulager mon serveur je me suis mis en tête de refuser tous les robots qui parcourent le forum de Blood Gush pour deux raisons :
- Je n’accorde pas un intérêt particulier à l’archivage des pages de ce forum dans les moteurs de recherche. Seuls les membres du forum ont un réel intérêt à y venir.
- En analysant les logs de mon serveur MySQL, le forum consome 3 fois plus de connexions en bases que mes deux blogues réunis, la majorité étant provoquées par ces fameux robots.
Bilan des courses : les robots Googlebot, Yahoo! Slurp et Crawler sont banis du forum au moyen d’une RewriteRule basée sur le UserAgent.
Lors de ces recherches, je suis tombé sur une ligne dans mon acceslog montrant clairement une attaque visant à exploiter une faille de phpBB. Heureusement, étant à jour avec la dernière version de PHP et de phpBB, le forum n’était pas vulnérable mais en fouillant, j’ai trouvé plusieurs infos concernant cette attaque :
Dans le cas où l’atttaque porte ses fruit sur une machaine vulnérable, voici ce qui se passe :
- Deux scripts perl sont téléchargés puis exécutés : un vers, et un client IRC.
- Le vers reproduira l’attaque sur tous les sites trouvés sur altavista
- Le client IRC se connectera sur le serveur
irc.thrashed.net, sur le channel#xxxisraelpass - Le client IRC est une interface vers un contrôle total de la machine, les deux administrateurs du channel pourront alors donner des commandes shell en message privé à chaque robot connecté, lesquels s’empresseront d’éxécuter la commande et de forunir le résultat en guise de réponse.
- Le client IRC usurpe le nom de son processus et se fait passer pour “sendmail: accepting connections”, il consome 80% des ressources processeur.
A l’heure où j’écris ces lignes, plus de 60 machines corrompues par ce vers sont connectées sur le chan IRC et attendent gentillement que leur maîtres leur donne un ordre…
