Aller au contenu

Victime d'une attaque DoS

destroyedlolo

Par destroyedlolo
dans Hébergement de Sites

 Partager

Sujets conseillés

destroyedlolo

destroyedlolo

Posté
Posté

Bonjour,

mon site crash regulierement depuis 3 semaines suite visiblement a une attaque Deny of Service de la part d'un italien.

J'ai

  • evidement envoye un Abuse qui va bien
  • modifie les parametres de mon Apache pour limite la memoire utilisee (j'utilise la dernier version d'apache 2.2)
  • et je vais upgrade mon OS car il semble aussi qu'il y ait un probleme a ce niveau vu que lors de certaines attaques, apache ne libere pas ses sockets.

L'upgrade systeme va prendre quelques temps, alors ... quels parametres apache utiliseriez vous pour interdire la connexion (et non uniquement l'acces a des pages) ?

Je sais que le visiteur vient de Tiscali.it, mais je pense qu'il est en DHCP donc je ne peux interdire son URL, par contre il signe comme Netscape/6 ce qui n'est pas courant.

Merci

Lolo

Dan

Dan

Posté
Posté

Est-ce qu'il a une IP fixe ? Parce que dans ce cas c'est simple:

iptables -A INPUT -s 123.123.123.123 -j DROP

en remplaçant les 123 par son IP.

Si l'IP est variable, tu peux interdire tout un sous-réseau si tu arrives à l'identifier, par exemple:

iptables -A INPUT -s 123.123.0.0/16 -j DROP

Dans cet exemple tu interdis 65536 adresses de 123.123.0.0. à 123.123.255.255

Dan

destroyedlolo

destroyedlolo

Posté
  • Auteur
Posté

Salut Dan,

malheureusement, il semble avoir une IP flottante et ca me gene un peu de virer tiscali.it qui me fourni quant meme quelques visiteurs.

N'y a-t-il pas une possibilite sous apache de l'interdit par son user agent ?

Dan

Dan

Posté
Posté

Si, tu peux le faire en te basant sur le User_Agent...

Mais dans ce cas c'est au niveau d'Apache et du .htaccess, donc une étape plus loin. Et cela risque de ne pas résoudre le problème du trafic propre à cette attaque DOS.

Comment t'es-tu assuré qu'il s'agit bien d'une attaque, et non de l'usage d'un aspirateur de site ? Elle dure depuis combien de temps ?

Qu'est ce qu'il demande comme fichier ?

Dan

destroyedlolo

destroyedlolo

Posté
  • Auteur
Posté
Comment t'es-tu assuré qu'il s'agit bien d'une attaque, et non de l'usage d'un aspirateur de site ? Elle dure depuis combien de temps ?

Qu'est ce qu'il demande comme fichier ?

Il demande TOUS les fichiers (enfin, ceux accessible publiquement).

Je ne suis pas persuade que c'est une attaque, mais j'ai quant même de lourd soupesons :

Au debut, ca faisait planter serveur car je n'avais pas limite les ressources d'Apache. Pendant 2 ou 3 jours, il a essaie de pompe entierrement le site ... et l'a donc plante.

Ensuite, j'ai modifier les parametres qui vont bien, et il a recommence 2 ou 3 fois sans que rien ne plante, et j'ai aussi fait des stress tests pour voir comment le serveur reagissait.

Depuis 3 jours, ca recommence, mais il semble avoir changer de methode vu qu'Apache se bloque car il ne semble pas liberer ses sockets ... Comme ce n'est plus un probleme de resources (d'apres mon monitoring), je pense qu'il a changer de methode.

c'est pourquoi je pense a une attaque. De toutes facons, je ne vois pas quel pourrait etre l'interet de pomper un site comme le miens pendant pres d'un mois.

Dan

Dan

Posté
Posté

C'est simple de le virer par .htaccess en se basant sur son user_agent.

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} "le_user_agent_de_l'indélicat"
RewriteRule .* - [F]

Sois aussi précis que possible quant-à son USER_AGENT ... regarde dans tes logs pour extraire la chaîne exacte.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...