Gestion de Contenu, de Communauté et de groupes de travail collaboratif - Open Source, français, sécurisé, stable et performant

  • MODULES

    Pour étendre les nombreuses fonctionnalités disponibles de base - modules.npds.org est à votre disposition.

    Des modules complémentaires, une communauté de développeurs active, des forums pour vos questions ... NPDS  est aussi une plateforme de développement !
  • STYLES

    Vous cherchez des thèmes graphiques pour votre portail ou votre communauté : styles.npds.org est à votre disposition.

    Des thèmes du plus simple au plus sophistiqué. Des thèmes facilement modifiables et toujours en Open-Source - Laissez simplement parler votre imagination !
  • BIBLES

    La documentation indispensable pour personnaliser et exploiter toute la puissante de NPDS  est à votre disposition sur bible.npds.org.

    Vous pouvez participer à l'effort de documentation - rien de plus simple : contactez un membre de la Team de développement et nous vous ouvrirons un compte sur le Wiki !
Devenir membre    |    Identifiant : Mot de Passe : -
Au delà de la gestion de contenu 'classique', NPDS met en oeuvre un ensemble de fonctions spécifiquement dédiées à la gestion de Communauté et de groupes de travail collaboratif.
Il s'agit d'un Content & Community Management System (CCMS) robuste, sécurisé, complet, performant et parlant vraiment français.

Gérez votre Communauté d'utilisateurs, vos groupes de travail collaboratif, publiez, gérez et organisez votre contenu grâce aux puissants outils disponibles de base.
  • Multi langues (Français, Anglais, Allemand, Espagnol, Chinois)
  • Respect des standards : UTF8, XHTML, CSS, ...
  • Système de blocs avancés
  • Installation et administration complète et centralisée
  • Editeur HTML intégré
  • Gestionnaire de fichier en ligne
  • Gestion des groupes de membres
  • Ecriture collaborative de documents (PAD)
  • Forums évolués
  • Mini-sites (pour les membres et les groupes de travail)
  • Chat temp réel
  • Système de News et de rubriques complet (édition, révision, publication)
  • ...
Gratuit et libre (Open-Source), développé en PHP, NPDS est personnalisable grâce à de nombreux thèmes et modules et ne requiert que quelques compétences de base.
NPDS Workplace - groupe de travail collaboratif
 NPDS WorkSpace - tous l'univers du travail collaboratif.
Modéré par : developpeur jpb Jireck 
Index du Forum » » Sécurité » » Bombardage d'une url  
2 pages [ 1 | 2 ]
AuteurBombardage d'une url
fliaigre
776      

fliaigre
  Posté : 29-11-2008 15:39

Comment est-ce possible?

Depuis 2 jours ma base est bloquée par mon hébergeur sous le prétexte suivant : "dû aux surcharges que votre base de données
provoquait sur notre serveur sql. Afin de garantir une qualité
de service pour l'ensemble des autres bases hébergées sur ce serveur,
nous sommes contraints de désactiver toutes les bases de données qui
provoquent des ralentissements."

Motif de départ des requêtes en relation avec le forum. Après discussion avec Dev, j'ai activé supercache et ai demandé la remise à disposition de la base. 5mn et base rebloquée.

Je me suis alors penché sur les logs mis à disposition par ovh, mon hébergeur et me suis rendu compte que j'étais spammé sur une url incluant minisite.php

Imaginez d'environ 40 000 pages en une journée, ce qui est déjà pas mal, les stats URCHIN ont enregistré 1 500 991 pages demandées pour la seule journée de vendredi. 1 785 121 fois l'url ministe.php

Vous imaginez le nombre de requêtes...

Le log serveur web de la journée de vendredi pèse 575 Mo contre 2 Mo environ.

En attendant de trouver une solution j'ai supprimé minisite.php du répertoire ce qui affiche des erreurs 404, mais c'est le fichier d'erreur qui grossit du coup, mais je pense que la base ne serait pas mise à contribution, non?

Dev me propose de bannir mais le pb est que l'attaque est une suite de rafales de 15 à 20 pages demandées avant de changer d'IP.

Principaux domaines concernés : totbb.net et co.th

Extrait de log :

"pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\\" HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\' HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
c-98-223-157-251.hsd1.in.comcast.net www.pharmechange.com - [29/Nov/2008:00:01:59 +0100] "GET /minisite.php?op=aspharcom)&page=\"adhere.html\" HTTP/1.0" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"

Ma question que faire...prévenir la police?

Merci pour votre aide.

  Profil  www  Citation   
Hotfirenet
1738       
 

Hotfirenet
  Posté : 29-11-2008 20:25

Citation : fliaigre 

Ma question que faire...prévenir la police?



Je ne pense pas qu'il pourront y faire quelques choses, voir comme te l'a dit Dev de bannir les ip, egalement OVH a l'air de te limiter essai de voir du coté de Infomaniak un peu plus cher mais moins de limites (Bases de données MySQL 5.x Illimité) ..


  Profil  E-mail  www  Citation   
fliaigre
776      

fliaigre
  Posté : 29-11-2008 21:25

Oui effectivement, il va falloir y réfléchir.

Merci.

Surtout que sur ce coup là ils m'ont laissé bien seul.

En suivant mes logs, ça à l'air de se calmer, j'ai changé le nom du fichier qu'ils plombaient du coup ils ont récupéré des erreurs 404.

Au fait, il n'y a pas de cache sur minisite?

  Profil  www  Citation   
developpeur
24560       
 

developpeur
  Posté : 29-11-2008 23:59

Non pas de cache pour minisiste.

C'est une forme de DOS (Deni de Service) en fait et je ne vois pas trop comment faire pour l'instant pour se protéger de cela.

Tu est en évolution ?

  Profil  E-mail  www  Citation   
fliaigre
776      

fliaigre
  Posté : 30-11-2008 09:58

Oui la dernière. 8.06

Et Ipban inscrit dans une table or je n'ai plus accès à ma base.

La dernière attaque : [Sun Nov 30 04:50:34 2008] [error] [client 122.53.52.10] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php

C'est un serveur qui se trouve en Californie. L'attaque a duré 6mn et a appelé l'url 18 fois à la seconde.

Le fait que j'ai renommé minisite.php conduit directement à une erreur 404, il ne fait donc pas travailler la base?

Mon hébergeur lui, n'a t'il pas les moyens de me et se protéger de ce genre d'attaque? Parce que le premier inondé c'est lui?

  Profil  www  Citation   
aidadomicil
3011       

aidadomicil
  Posté : 30-11-2008 10:23

Bjr, tu peux essayer de bloquer l'adresse ip via un htaccess à placer ou tu veux que ça bloque:

order allow,deny
deny from 78.129.208 # on interdit toutes les adresses IP commençant par 78.129.208
allow from all # on autorise tous les autres

tu n'es pas obligé d'indiquer l'adresse ip complète (ne pas mettre la derniere série de chiffres) comme ca tu bloques la plage complète, (0 à 255) tu peux même n'indiquer que les deux premieres series de chiffres, là tu bloques le pays complet.

font ch..r !

une page d'explications : http://www.urlrewriting.fr/scripts16-Snipet.html


Message édité par : aidadomicil / 30-11-2008 17:14


  Profil  www  Citation   
fliaigre
776      

fliaigre
  Posté : 30-11-2008 11:12

En fait il s'agit probablement d'une attaque de type DDOS ==> http://fr.wikipedia.org/wiki/D%C3%A9ni_de_service

Le serveur appelant changeant toutes les x secondes.

Il n'empêche que ce n'est pas n'importe qui pour mettre en place ce type d'attaque.

Si l'attaque concerne une url en cache, l'attaque ne fonctionne pas? Rassurez moi.

Oui aidadomicil, il faudrait m'expliquer dans le détail comment sont organisé ces adresses IP, je peux me passer de l'Asie, c'est sur.

  Profil  www  Citation   
fliaigre
776      

fliaigre
  Posté : 30-11-2008 18:54

Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?

  Profil  www  Citation   
kamila
74    

kamila
  Posté : 30-11-2008 19:38

Bonjour,

A tu essayé CrawlTrack pour bloquer les attaques ?

http://www.crawltrack.net/fr/

@+

  Profil  E-mail  www  Citation   
Hotfirenet
1738       
 

Hotfirenet
  Posté : 30-11-2008 19:39

Citation : fliaigre 

Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.? 


essai de voir
=> http://www.radmin.fr/download/utilities.php

  Profil  E-mail  www  Citation   
Anonyme
19765  

Anonyme
  Posté : 30-11-2008 20:17

Citation : fliaigre 

Oui la dernière. 8.06

Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
==> Non dans un fichier TXT !

  Citation   
fliaigre
776      

fliaigre
  Posté : 30-11-2008 21:18

OK vu spam.log mais quel sens a le chiffre à la fin :1, :2 etc.

  Profil  www  Citation   
aidadomicil
3011       

aidadomicil
  Posté : 30-11-2008 23:51

tiens ton spammeur FLiaigre :
inetnum: 122.52.0.0 - 122.55.255.255
netname: IPG
descr: IPG
descr: Philippine Long Distance Telephone Company
country: PH

c'est une compagnie de telephone aux philipines ...

tu mets ça dans un fichier .0htaccess à la racine de ton site :
-----------------


order allow,deny
allow from all
deny from 122.52 # on interdit toutes les adresses IP commençant par 122.52
deny from 122.53 # on interdit toutes les adresses IP commençant par 122.53
deny from 122.54 # on interdit toutes les adresses IP commençant par 122.54
deny from 122.55 # on interdit toutes les adresses IP commençant par 122.55




-----------------
il y a pas mal d'adresses ip possibles ....



Message édité par : aidadomicil / 30-11-2008 23:52



Message édité par : aidadomicil / 30-11-2008 23:53


  Profil  www  Citation   
fliaigre
776      

fliaigre
  Posté : 01-12-2008 06:37

Mecrci aidadomicil, je suis en train de faire la liste des IP il y en a au moins une centaine.

  Profil  www  Citation   
developpeur
24560       
 

developpeur
  Posté : 01-12-2008 18:28

Citation : fliaigre 

OK vu spam.log mais quel sens a le chiffre à la fin :1, :2 etc. 


:5 le spammeur ne passe plus / en dessous c'est les essais qu'il lui reste ...

  Profil  E-mail  www  Citation   
Aller à la page : [ 1 | 2 ]
  
Sauter à :

Temps : 0.0169 seconde(s)