NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
25 visiteur(s) et 1 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 106 560 384
- Nb. de membres 8 693
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» Bombardage d'une url
Nouveau sujet
Bombardage d'une url#24034Répondre
7Contributeur(s)
3 Modérateur(s)
fliaigre
Comment est-ce possible?
Depuis 2 jours ma base est bloquée par mon hébergeur sous le prétexte suivant : "dû aux surcharges que votre base de données
provoquait sur notre serveur sql. Afin de garantir une qualité
de service pour l'ensemble des autres bases hébergées sur ce serveur,
nous sommes contraints de désactiver toutes les bases de données qui
provoquent des ralentissements."
Motif de départ des requêtes en relation avec le forum. Après discussion avec Dev, j'ai activé supercache et ai demandé la remise à disposition de la base. 5mn et base rebloquée.
Je me suis alors penché sur les logs mis à disposition par ovh, mon hébergeur et me suis rendu compte que j'étais spammé sur une url incluant minisite.php
Imaginez d'environ 40 000 pages en une journée, ce qui est déjà pas mal, les stats URCHIN ont enregistré 1 500 991 pages demandées pour la seule journée de vendredi. 1 785 121 fois l'url ministe.php
Vous imaginez le nombre de requêtes...
Le log serveur web de la journée de vendredi pèse 575 Mo contre 2 Mo environ.
En attendant de trouver une solution j'ai supprimé minisite.php du répertoire ce qui affiche des erreurs 404, mais c'est le fichier d'erreur qui grossit du coup, mais je pense que la base ne serait pas mise à contribution, non?
Dev me propose de bannir mais le pb est que l'attaque est une suite de rafales de 15 à 20 pages demandées avant de changer d'IP.
Principaux domaines concernés : totbb.net et co.th
Extrait de log :
"pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\\" HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\' HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
c-98-223-157-251.hsd1.in.comcast.net www.pharmechange.com - [29/Nov/2008:00:01:59 +0100] "GET /minisite.php?op=aspharcom)&page=\"adhere.html\" HTTP/1.0" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
Ma question que faire...prévenir la police?
Merci pour votre aide.
Depuis 2 jours ma base est bloquée par mon hébergeur sous le prétexte suivant : "dû aux surcharges que votre base de données
provoquait sur notre serveur sql. Afin de garantir une qualité
de service pour l'ensemble des autres bases hébergées sur ce serveur,
nous sommes contraints de désactiver toutes les bases de données qui
provoquent des ralentissements."
Motif de départ des requêtes en relation avec le forum. Après discussion avec Dev, j'ai activé supercache et ai demandé la remise à disposition de la base. 5mn et base rebloquée.
Je me suis alors penché sur les logs mis à disposition par ovh, mon hébergeur et me suis rendu compte que j'étais spammé sur une url incluant minisite.php
Imaginez d'environ 40 000 pages en une journée, ce qui est déjà pas mal, les stats URCHIN ont enregistré 1 500 991 pages demandées pour la seule journée de vendredi. 1 785 121 fois l'url ministe.php
Vous imaginez le nombre de requêtes...
Le log serveur web de la journée de vendredi pèse 575 Mo contre 2 Mo environ.
En attendant de trouver une solution j'ai supprimé minisite.php du répertoire ce qui affiche des erreurs 404, mais c'est le fichier d'erreur qui grossit du coup, mais je pense que la base ne serait pas mise à contribution, non?
Dev me propose de bannir mais le pb est que l'attaque est une suite de rafales de 15 à 20 pages demandées avant de changer d'IP.
Principaux domaines concernés : totbb.net et co.th
Extrait de log :
"pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\\" HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\' HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
c-98-223-157-251.hsd1.in.comcast.net www.pharmechange.com - [29/Nov/2008:00:01:59 +0100] "GET /minisite.php?op=aspharcom)&page=\"adhere.html\" HTTP/1.0" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
Ma question que faire...prévenir la police?
Merci pour votre aide.
Hotfirenet
Citation : fliaigre
Ma question que faire...prévenir la police?
Ma question que faire...prévenir la police?
Je ne pense pas qu'il pourront y faire quelques choses, voir comme te l'a dit Dev de bannir les ip, egalement OVH a l'air de te limiter essai de voir du coté de Infomaniak un peu plus cher mais moins de limites (Bases de données MySQL 5.x Illimité) ..
fliaigre
Oui effectivement, il va falloir y réfléchir.
Merci.
Surtout que sur ce coup là ils m'ont laissé bien seul.
En suivant mes logs, ça à l'air de se calmer, j'ai changé le nom du fichier qu'ils plombaient du coup ils ont récupéré des erreurs 404.
Au fait, il n'y a pas de cache sur minisite?
Merci.
Surtout que sur ce coup là ils m'ont laissé bien seul.
En suivant mes logs, ça à l'air de se calmer, j'ai changé le nom du fichier qu'ils plombaient du coup ils ont récupéré des erreurs 404.
Au fait, il n'y a pas de cache sur minisite?
developpeur
Non pas de cache pour minisiste.
C'est une forme de DOS (Deni de Service) en fait et je ne vois pas trop comment faire pour l'instant pour se protéger de cela.
Tu est en évolution ?
C'est une forme de DOS (Deni de Service) en fait et je ne vois pas trop comment faire pour l'instant pour se protéger de cela.
Tu est en évolution ?
fliaigre
Oui la dernière. 8.06
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
La dernière attaque : [Sun Nov 30 04:50:34 2008] [error] [client 122.53.52.10] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
C'est un serveur qui se trouve en Californie. :-P L'attaque a duré 6mn et a appelé l'url 18 fois à la seconde. :-?
Le fait que j'ai renommé minisite.php conduit directement à une erreur 404, il ne fait donc pas travailler la base?
Mon hébergeur lui, n'a t'il pas les moyens de me et se protéger de ce genre d'attaque? Parce que le premier inondé c'est lui?
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
La dernière attaque : [Sun Nov 30 04:50:34 2008] [error] [client 122.53.52.10] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
C'est un serveur qui se trouve en Californie. :-P L'attaque a duré 6mn et a appelé l'url 18 fois à la seconde. :-?
Le fait que j'ai renommé minisite.php conduit directement à une erreur 404, il ne fait donc pas travailler la base?
Mon hébergeur lui, n'a t'il pas les moyens de me et se protéger de ce genre d'attaque? Parce que le premier inondé c'est lui?
aidadomicil
Bjr, tu peux essayer de bloquer l'adresse ip via un htaccess à placer ou tu veux que ça bloque:
order allow,deny
deny from 78.129.208 # on interdit toutes les adresses IP commençant par 78.129.208
allow from all # on autorise tous les autres
tu n'es pas obligé d'indiquer l'adresse ip complète (ne pas mettre la derniere série de chiffres) comme ca tu bloques la plage complète, (0 à 255) tu peux même n'indiquer que les deux premieres series de chiffres, là tu bloques le pays complet.
font ch..r ! :D
une page d'explications : http://www.urlrewriting.fr/scripts16-Snipet.html
order allow,deny
deny from 78.129.208 # on interdit toutes les adresses IP commençant par 78.129.208
allow from all # on autorise tous les autres
tu n'es pas obligé d'indiquer l'adresse ip complète (ne pas mettre la derniere série de chiffres) comme ca tu bloques la plage complète, (0 à 255) tu peux même n'indiquer que les deux premieres series de chiffres, là tu bloques le pays complet.
font ch..r ! :D
une page d'explications : http://www.urlrewriting.fr/scripts16-Snipet.html
Message édité par : aidadomicil / 30-11-2008 17:14
fliaigre
En fait il s'agit probablement d'une attaque de type DDOS ==> http://fr.wikipedia.org/wiki/D%C3%A9ni_de_service
Le serveur appelant changeant toutes les x secondes.
Il n'empêche que ce n'est pas n'importe qui pour mettre en place ce type d'attaque.
Si l'attaque concerne une url en cache, l'attaque ne fonctionne pas? Rassurez moi.
Oui aidadomicil, il faudrait m'expliquer dans le détail comment sont organisé ces adresses IP, je peux me passer de l'Asie, c'est sur.
Le serveur appelant changeant toutes les x secondes.
Il n'empêche que ce n'est pas n'importe qui pour mettre en place ce type d'attaque.
Si l'attaque concerne une url en cache, l'attaque ne fonctionne pas? Rassurez moi.
Oui aidadomicil, il faudrait m'expliquer dans le détail comment sont organisé ces adresses IP, je peux me passer de l'Asie, c'est sur.
fliaigre
Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?
Hotfirenet
Citation : fliaigre
Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?
Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?
essai de voir
=> http://www.radmin.fr/download/utilities.php
Anonyme
Citation : fliaigre
Oui la dernière. 8.06
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
==> Non dans un fichier TXT !
Oui la dernière. 8.06
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
==> Non dans un fichier TXT !
aidadomicil
tiens ton spammeur FLiaigre :
inetnum: 122.52.0.0 - 122.55.255.255
netname: IPG
descr: IPG
descr: Philippine Long Distance Telephone Company
country: PH
c'est une compagnie de telephone aux philipines ...
tu mets ça dans un fichier .0htaccess à la racine de ton site :
-----------------
order allow,deny
allow from all
deny from 122.52 # on interdit toutes les adresses IP commençant par 122.52
deny from 122.53 # on interdit toutes les adresses IP commençant par 122.53
deny from 122.54 # on interdit toutes les adresses IP commençant par 122.54
deny from 122.55 # on interdit toutes les adresses IP commençant par 122.55
-----------------
il y a pas mal d'adresses ip possibles .... :|
inetnum: 122.52.0.0 - 122.55.255.255
netname: IPG
descr: IPG
descr: Philippine Long Distance Telephone Company
country: PH
c'est une compagnie de telephone aux philipines ...
tu mets ça dans un fichier .0htaccess à la racine de ton site :
-----------------
order allow,deny
allow from all
deny from 122.52 # on interdit toutes les adresses IP commençant par 122.52
deny from 122.53 # on interdit toutes les adresses IP commençant par 122.53
deny from 122.54 # on interdit toutes les adresses IP commençant par 122.54
deny from 122.55 # on interdit toutes les adresses IP commençant par 122.55
-----------------
il y a pas mal d'adresses ip possibles .... :|
Message édité par : aidadomicil / 30-11-2008 23:52
Message édité par : aidadomicil / 30-11-2008 23:53
fliaigre
Mecrci aidadomicil, je suis en train de faire la liste des IP il y en a au moins une centaine. :D
developpeur
Citation : fliaigre
OK vu spam.log mais quel sens a le chiffre à la fin :1, :2 etc.
OK vu spam.log mais quel sens a le chiffre à la fin :1, :2 etc.
:5 le spammeur ne passe plus / en dessous c'est les essais qu'il lui reste ...
fliaigre
OK j'ai mis toutes les ip que j'ai pu identifier à 5 pour l'avenir.
Je vous ferai mon petit rapport de cette expérience, je ne sais pas si le module de sécurité à la possibilité de gérer ce genre d'attaque mais toute expérience est bonne à partager.
La base est réouverte depuis ce midi et pour l'instant ça tient.
Je vous ferai mon petit rapport de cette expérience, je ne sais pas si le module de sécurité à la possibilité de gérer ce genre d'attaque mais toute expérience est bonne à partager.
La base est réouverte depuis ce midi et pour l'instant ça tient.
fliaigre
Je vous fait l'historique tout d'abord :
Ma base a été fermée jeudi soir une première fois, OVH m'indiquant une surcharge du serveur sql en m'indiquant des requêtes tout à fait habituelles. J'ai d'abord pensé qu'il s'agissait d'une recrudescence de fréquentation et ai donc mis en service le système de cache du site de manière à alléger le serveur.
Ma base a été réactivée vendredi AM et a été remise en état closed presqu'immédiatement.
J'ai donc cherché dans mes logs et là j'ai vite compris qu'il s'agissait d'une attaque de type DDOS. ==> http://pharmechange.free.fr/txt/logweb.txt
J'ai donc par la suite renommé le fichier concerné par l'URL visée et au fil du temps l'attaque a progressivement diminué.
Bien sur j'ai trouvé trace de ces attaques ensuite dans mes logs d'erreur. ==> http://pharmechange.free.fr/txt/logerror.txt
J'ai noté dans les logs qu'il y avait eu dans les minutes précédent le bombardement un scan de plusieurs URL
J'ai mis un maximum de ces ip dans ipban sans prétendre les avoir misent toutes.
Maintenant il me reste beaucoup de question.
Pourquoi cette URL?
Le fichier htaccess proposé par aidadomicil est-il plus efficace qu'ipban?
Notre CMS préféré a t'il la capacité à nous protéger de ce type d'attaque, actuellement non, mais dans l'avenir?
Ma base a été fermée jeudi soir une première fois, OVH m'indiquant une surcharge du serveur sql en m'indiquant des requêtes tout à fait habituelles. J'ai d'abord pensé qu'il s'agissait d'une recrudescence de fréquentation et ai donc mis en service le système de cache du site de manière à alléger le serveur.
Ma base a été réactivée vendredi AM et a été remise en état closed presqu'immédiatement.
J'ai donc cherché dans mes logs et là j'ai vite compris qu'il s'agissait d'une attaque de type DDOS. ==> http://pharmechange.free.fr/txt/logweb.txt
J'ai donc par la suite renommé le fichier concerné par l'URL visée et au fil du temps l'attaque a progressivement diminué.
Bien sur j'ai trouvé trace de ces attaques ensuite dans mes logs d'erreur. ==> http://pharmechange.free.fr/txt/logerror.txt
J'ai noté dans les logs qu'il y avait eu dans les minutes précédent le bombardement un scan de plusieurs URL
J'ai mis un maximum de ces ip dans ipban sans prétendre les avoir misent toutes.
Maintenant il me reste beaucoup de question.
Pourquoi cette URL?
Le fichier htaccess proposé par aidadomicil est-il plus efficace qu'ipban?
Notre CMS préféré a t'il la capacité à nous protéger de ce type d'attaque, actuellement non, mais dans l'avenir?
aidadomicil
je t'ai proposé une solution via fichier htaccess parceque tu semblais ne pas avoir accès à ton site et à ta base de données, il te suffisait d'envoyer ce fichier par ftp, il était opérationnel immédiatement.
Maintenant que tu as un accès normal, tu peux utiliser ipban, je te garanti qu'il bloque bien les problèmes dans le genre du tien !!!
Tu n'es pas obligé dans ip ban d'entrer toutes les adresse ip recontrés dans tes logs juste les trois premieres series de chiffres, ca bloque la totalité de la derniere plage ex pour 122.53.52.10 tu peux indiquer 122.53.52 ce qui bloque de 122.53.52.0 à 122.53.52.255
bon courage :=!
Maintenant que tu as un accès normal, tu peux utiliser ipban, je te garanti qu'il bloque bien les problèmes dans le genre du tien !!!
Tu n'es pas obligé dans ip ban d'entrer toutes les adresse ip recontrés dans tes logs juste les trois premieres series de chiffres, ca bloque la totalité de la derniere plage ex pour 122.53.52.10 tu peux indiquer 122.53.52 ce qui bloque de 122.53.52.0 à 122.53.52.255
bon courage :=!
Jireck
Notre CMS préféré a t'il la capacité à nous protéger de ce type d'attaque, actuellement non, mais dans l'avenir?
Aucun logiciel ne le peux
fliaigre
Cette nuit ça a continué toujours sur la même !url(!heureusement), bien qu'ajouter dans ipban il y a une ip qui est passée dans le log d'erreur.
[Tue Dec 02 07:33:20 2008] [error] [client 61.19.42.46] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
dans spam.log j'ai 61.19.42.46:5 c'est normal?
"Aucun logiciel ne le peux" Ce n'est pas très rassurant, et au niveau du serveur? Parceque en utilisation une url identique appelée à raison de x fois à la seconde ce n'est pas un comportement normal.
Quand un bot passe il n'appelle pas x fois la même url, on ne peut donc pas confondre.
[Tue Dec 02 07:33:20 2008] [error] [client 61.19.42.46] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
dans spam.log j'ai 61.19.42.46:5 c'est normal?
"Aucun logiciel ne le peux" Ce n'est pas très rassurant, et au niveau du serveur? Parceque en utilisation une url identique appelée à raison de x fois à la seconde ce n'est pas un comportement normal.
Quand un bot passe il n'appelle pas x fois la même url, on ne peut donc pas confondre.