|
fliaigre 913
| Posté : 01-12-2008 18:58
OK j'ai mis toutes les ip que j'ai pu identifier à 5 pour l'avenir.
Je vous ferai mon petit rapport de cette expérience, je ne sais pas si le module de sécurité à la possibilité de gérer ce genre d'attaque mais toute expérience est bonne à partager.
La base est réouverte depuis ce midi et pour l'instant ça tient. |  Profil www Citation
|
|
fliaigre 913
| Posté : 01-12-2008 21:11
Je vous fait l'historique tout d'abord :
Ma base a été fermée jeudi soir une première fois, OVH m'indiquant une surcharge du serveur sql en m'indiquant des requêtes tout à fait habituelles. J'ai d'abord pensé qu'il s'agissait d'une recrudescence de fréquentation et ai donc mis en service le système de cache du site de manière à alléger le serveur.
Ma base a été réactivée vendredi AM et a été remise en état closed presqu'immédiatement.
J'ai donc cherché dans mes logs et là j'ai vite compris qu'il s'agissait d'une attaque de type DDOS. ==> http://pharmechange.free.fr/txt/logweb.txt
J'ai donc par la suite renommé le fichier concerné par l'URL visée et au fil du temps l'attaque a progressivement diminué.
Bien sur j'ai trouvé trace de ces attaques ensuite dans mes logs d'erreur. ==> http://pharmechange.free.fr/txt/logerror.txt
J'ai noté dans les logs qu'il y avait eu dans les minutes précédent le bombardement un scan de plusieurs URL
J'ai mis un maximum de ces ip dans ipban sans prétendre les avoir misent toutes.
Maintenant il me reste beaucoup de question.
Pourquoi cette URL?
Le fichier htaccess proposé par aidadomicil est-il plus efficace qu'ipban?
Notre CMS préféré a t'il la capacité à nous protéger de ce type d'attaque, actuellement non, mais dans l'avenir? |  Profil www Citation
|
|
aidadomicil 3011
| Posté : 01-12-2008 23:41
je t'ai proposé une solution via fichier htaccess parceque tu semblais ne pas avoir accès à ton site et à ta base de données, il te suffisait d'envoyer ce fichier par ftp, il était opérationnel immédiatement.
Maintenant que tu as un accès normal, tu peux utiliser ipban, je te garanti qu'il bloque bien les problèmes dans le genre du tien !!!
Tu n'es pas obligé dans ip ban d'entrer toutes les adresse ip recontrés dans tes logs juste les trois premieres series de chiffres, ca bloque la totalité de la derniere plage ex pour 122.53.52.10 tu peux indiquer 122.53.52 ce qui bloque de 122.53.52.0 à 122.53.52.255
bon courage
|  Profil www Citation
|
|
Jireck 8427
| Posté : 02-12-2008 09:03
Notre CMS préféré a t'il la capacité à nous protéger de ce type d'attaque, actuellement non, mais dans l'avenir?
Aucun logiciel ne le peux
|  Profil Citation
|
|
fliaigre 913
| Posté : 02-12-2008 13:11
Cette nuit ça a continué toujours sur la même !url(!heureusement), bien qu'ajouter dans ipban il y a une ip qui est passée dans le log d'erreur.
[Tue Dec 02 07:33:20 2008] [error] [client 61.19.42.46] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
dans spam.log j'ai 61.19.42.46:5 c'est normal?
"Aucun logiciel ne le peux" Ce n'est pas très rassurant, et au niveau du serveur? Parceque en utilisation une url identique appelée à raison de x fois à la seconde ce n'est pas un comportement normal.
Quand un bot passe il n'appelle pas x fois la même url, on ne peut donc pas confondre. |  Profil www Citation
|
|
fliaigre 913
| Posté : 02-12-2008 13:13
Autre question les fichiers log doivent être à quel chmod. |  Profil www Citation
|
|
Jireck 8427
| |
fliaigre 913
| Posté : 02-12-2008 18:33
L'hébergeur botte en touche en disant que c'est à moi de veiller à la sécurité de mes fichiers...vu que ce n'est pas ça qui est en jeu...
Je me posais une question si la cible est un fichier qui dispose du cache : forum.php par ex: est-ce que ça protège le serveur sur ce type d'attaque? |  Profil www Citation
|
|
developpeur 24581
| Posté : 03-12-2008 22:45
non pas vraiment / en fait contre un DOS il n'y a pas vraiment de bonne contre mesure au niveau PHP parce que quel que soit la solution on arrive toujours à saturer Apache, Mysql ou même le serveur |  Profil E-mail www Citation
|
|
fliaigre 913
| Posté : 04-12-2008 09:18
Bon ben il reste donc à bruler un cierge pour qu'on m'oublie. |  Profil www Citation
|
|
Anonyme 19853
| Posté : 16-01-2009 17:07
Alors ? | Citation
|
|
fliaigre 913
| |
developpeur 24581
| |
Aller à la page : [ 1 | 2 ] |