Après des semaines de tranquilité où les messages de fail2ban étaient quasi absents, un de mes blogs fait l’objet d’un assaut. Bien sur c’est wp-login.php et xmlrpc.php qui sont testé. Ce qui est nouveau c’est que l’attaque a démarré brutalement avec plus d’une cinquantaine d’adresses IP.

Il va peut être falloir que je passe ce blog privé en maintenance quelques jours le temps que l’attaque passe. La précédente avait vu le même site bombardé pendant 6 mois. A suivre donc.

Donc les conseils c’est bien sur de faire toutes les dernières mises à jour du système et de wordpress, de changer l’admin par défaut et de supprimer l’utilisateur admin, vérifier systématiquement les inscriptions sur le blog, supprimer les extensions inutiles. Mettre en place fail2ban et prendre le temps d’inventer ses propres filtres, ajouter l’extension login lock-down.

par exemple avec fail2ban bannir les adresses qui ouvrent xmlrpc.php plusieurs fois sur une période donnée.

bonjour,

Aujourd’hui une petite coupure suite au passage en Debian 11 (BullsEye). Au passage j’avais un paramétrage lighttpd qui n’était pas correct et deux modules PHp qui ne se sont pas isntallé. Mais pour un passage en version majeur ce n’est pas mal, il faudra que je regarde les trace d’erreurs mais ça me semble globalement fonctionnel.

Je ne sais pas si ça a eu des conséquences pour vous mais j’en suis à deux jours sans spam.
Avoir reporté auprès des hébergeurs qu’un de leur client était un spameur qui ne respecte pas les désinscription a suffi à déclencher une réaction.
Pour trouver les sociétés en question j’ai utilisé whois; si vous n’avez pas un unix sous la main il existe des services de whois sur Internet. Dans les informations intéressantes il ya l’adresse abuse du registar (la personne qui a vendu le nom de domaine) et l’adresse du technical, un peu de google et de societe.com et j’avais déterminé que en fait il y avait trois société individuelles derrière le flux de spam dont deux dont les dirigeants portaient le même nom de famille. Ça sentait donc un peu le camouflage.
En fait j’ai trouvé les noms des sociétés en cherchant sur les liens de désinscriptions qui étaient en http://links.domain.fr et http://red.domain.fr les fameux domain.fr dans whois.
un bon whois sur internet

complément pour les curieux un peu geek.
Rien n’oblige le spameur d’avoir ses serveurs et les noms de domaine à la même adresse. Une base existe facilitant la recherche des adresses « abuse » des hébergeurs.

root@vps:/etc/fail2ban# host queryline.fr
queryline.fr mail is handled by 10 bounce.queryline.fr.
root@vps:/etc/fail2ban# host bounce.queryline.fr
bounce.queryline.fr has address 52.42.167.110
root@vps:/etc/fail2ban# host -t TXT 110.167.42.52.abuse-contacts.abusix.org
110.167.42.52.abuse-contacts.abusix.org descriptive text "abuse@amazonaws.com"

Si le nom de domaine est chez OVH l’hébergement est chez amazon.

Bon tout le monde n’utilise pas lighttpd et la tendance sur les petites configurations est plutôt à utiliser nginx. Pendant longtemps lighttpd était en sommeil mais les développements ont repris et franchement moi j’aime bien une partie de la performance de ce site vient justement de l’utilisation de lighttpd.
Lorsque l’on installe lighttpd on utilise souvent evhost pour pouvoir gérer des virtual host, et bien dans un article du blog pourtant ancien un autre voie est signalée qui me semble bien plus intéressante puisque permettant d’avoir une meilleur modularité et une grosse simplification des fichiers de configuration. Parfois le plus simple s’avère compliqué, la complexité étant poussé en aval.
Donc l’article éclairant est là

En ce jour gris j’ai eu l’occasion de vister un lieu que je ne m attendais pas à rencontrer à dijon.
Encore une démonstration reussie de la reconversion de bâtiment industriel.
Si vous passez rue de Longvic.

juste pour le fin quelqu’un m’a adressé ce mail :

From……: Kathie
Email…..: k……..s@gmail.com
Url…….:

Hello, I am writing in an unusual case … Some time ago, I used your services, and one of your employees face was familiar to me. At dinner with my wife, it turned out that he was a burglar, who 5 years ago broke into our home!!! This is ridiculous!!! How you can hire criminals? I found at least 3 bad entries for him at website for background check!! I am sure there are more!!! Please do something about it, things like that are ridiculous!!!

Je ne sais pas comment celà a pu arriver mais c’est pas au bon endroit. Comment un mail posté sur un autre wordpress aurait pu rentrer sur le mien ? c’est vraiment étrange. Si ça se trouve c’est la NSA 🙂

Sous ce titre hyper gaguesque juste une réflexion que je me suis faites en vacances en voyant de trois quart arrière l’affreuse mini cooper 4 portes juste après avoir montré à mes enfants une vraie de vraie mini cooper, je me suis dit qu’elle ne ressemblaitvraiment pas à une mini notamment avec ses roues immenses (les vraies ont des petites roues) et les 4 portes !!!!
finalement je me suis dit qu’elle ressemblait plus à une 4L qu’à une mini. Renault devrait attaquer BMW pour violation du « look and feel » 😉

Un petit article rapide puisque je n’ai pas réussi à trouver l’information sur le net ni sur la notice.
Nous avions acheté un lave vaisselle rosière que l’installateur nous avait fait tenir sur des cales en bois. Bien sur ça n’a pas duré longtemps. En fait l’installateur n’avait pas su régler la patte arrière !
Je me suis donc plongé sur cette problématique et au bout de 20 minutes de recherches sur le net d’examen minutieux de cette fameuse patte … j’ai enfin trouvé le truc de la mort qui tue. La patte arrière se règle par l’avant. En fait sous la porte ,au milieu, il y a une « pastille blanche » avec un trou pour clé allen il suffit de tourner celle-ci à gauche pour descendre la patte (et donc monter l’arrière du lave vaiselle) et à droite pour l’action contraire.
et voilà 6 mois que l’on avait un lave vaisselle de traviole 😉

Suite à l’achat d’un euxième disque avec installation d’un lunix (debian) sur une partition du second disque je n’arrivais plus à faire fonctionner le dual-boot de vista.

La solution m’est venue de l’article boot grub2 stage2 directly from windows with grub4dos stage1

dans mon cas la partition contenant /boot était sur la 5ème partition.
D’abords dans Linux

grub-mkimage --output=core.img --prefix=(hd1,5)/boot/grub biosdisk part_msdos ext2
grub-setup --core-image=core.img --force /dev/sda5
dd if=/dev/sda5 of=grub.bin count=1 bs=512

le fichier grub.bin est transféré sur le disque c: de vista et on reprend dans Vista

bcdedit /create /d Linux /application BOOTSECTOR
bcdedit /set {ID} device partition=c:
bcdedit /set {ID}  path grub.bin
bcdedit /displayorder {ID} /addlast
bcdedit /timeout 5

{ID} vous est donné lors de la première commande bcdedit