Quelques jours avant l’attaque, une montée en charge de trafic peu qualitatif est constatée via les Analytics, un taux de rebond à 100%, des 404, l’accès aux fichiers « techniques » de WP accédés en direct.
Le jour J de l’attaque, ce sont des milliers d’IP différentes qui accèdent au site Internet.
La 1ère tâche est de s’assurer qu’il s’agisse d’un trafic agressif et non d’une éventuelle campagne de pub lancée par le client et d’analyser les logs à disposition afin de trouver l’outil le plus à même de bloquer ce trafic.
- support et outils à disponibilité chez l’hébergeur
- lecture des traces applicatives du module part-feu installé dans WP
- lecture des Logs Apache
Ce sont les logs d’Apache qui permettront ici de trouver le dénominateur commun à ces ordinateurs zombis qui accèdent au site, via un identifiant de navigateur unique, facile à bloquer via la mise en place de règles htaccess.
La charge reste inchangée au niveau des fronteaux de l’hébergeur, mais le site est à nouveau accessible.
Exactement 24h après, l’attaque est stoppée, le trafic revenu à la normale, le contrôle de l’intégrité du site peu-être réalisé au niveau des fichiers et de sa base de données.
