questions sur les attaques de flood

[morphoSEO]

slt

dernierement mon site ( portal + phpBB ) a subi des attaques de flood ( ddos je pense ) qui ont mis le forum completement hors service

[dcz]

Bon, le fait que la db ait saturé ne veut pas dire qu'il y a vraiment eu une attaque DDos.

En fait sur un serveur mutu, le nombre de connexions simultanées à la db est en général assez limité, genre 10, rarement beaucoup plus.

Du coup, il est pas très difficile de saturer le serveur, deux ou trois cent chargement de l'index au même instant peuvent suffire.

Et là, et bien, à part bannir la ou plus vraisemblablement les ip, on peut pas faire grand chose.

C'est d'ailleurs le cas pour les attaques DDos, on peut bien entendu filtrer quelques requêtes évidentes, mais si quelqu'un veut vraiment faire tomber un serveur, et qu'il en a les moyens, alors il y a peut de chances de résister longtemps, même en bannissant les ip à tour de bras.

Après, il y a aussi un grande différence entre tomber un serveur et le hacker, une attaque ddos peut servir masque ou faciliter un hacking, mais en général, l'attaque se borne à saturer le serveur jusqu'au plantage.

Un conseil pas si bête en cas d'attaque vraiment rude et de fermer le serveur quelques heures, c'est moins gênant que de le laisser craquer complètement, car dans certains cas violent, cela peut aussi l'endommager.

Mais bon, la je te fait la théorie, en pratique, plus le serveur est puissant et plus il a de bande passante, plus il faudra y mettre de l'énergie pour le faire tomber.

De très gros réseaux ont été attaqué de la sorte jusqu'à épuisement partiel ou total. Tout dépend de ce qu'il y a en face.

Donc, tout dépend de la taille et de l'importance de ton site. La question est as tu affaire à une vrai menace ou simplement à un petit malin qui essai de te faire peur.

Dans les deux cas, isole la ou les ip dans tes logs et fait des spam report après recherche sur le whois : http://www.dnsstuff.com
c'est le seul moyen durable de lutter, leur montrer que de t'attaquer n'est pas sans risques. Ça ne fait jamais plaisir de perdre l'usage d'ip "d'attaque".

Et aussi question, est-ce que tu as dû réinstaller ton forum ? Ou une fois l'attaque passée, tout est revenu au beau fixe ?

++

[morphoSEO]

slt

dans mon cas c'est une vrai menace : à chaque fois qu'on remet le forum il nous attaque et par 3 dédiés en plus

sinon j'ai pas bien compris ça

[dcz]

Sur http://www.dnsstuff.com/ il faut balancer l'ip ou le domaine dans :

[morphoSEO]

merci

les htacces sont bien mis dans le dossier db et includes ( pour l'admin je voit pas trop son utilité, j'ai deja changer le repertoire admin et j'ai obligé la connexion avant d'acceder je pense que c'est suffisant )

sinon juste une question concernant les logs , dans mon ftp y'a 5 dossiers logs access_log ( 300 mo ) et 4 access_log.gz, je dois ouvrire lequel pour savoir les ips qui nous ont attaqué ?

@+

[dcz]

Le dernier modifié après l'attaque.

Plus précisément, c'est difficile à dire, ça dépend, en générale, les .gz sont vieux, c'est de l'archivage.

Tu trouvera les ip soit parce que tu verra plein de requêtes standards très rapprochées (plusieurs par seconde) soit parce que tu verra des URI bizarre, genre avec des "/*" ou autres exotismes dans l'url demandée (rapprochées aussi probablement).

Vérifies aussi si tu n'as pas des tentatives d'accès au dossiers admin/ db/ et includes/, admin/ aussi, car le hackeur ne sait pas forcément que tu ne l'utilises pas.

Et config.php aussi, d'ailleurs, j'ai oublié de te dire de mettre :

[morphoSEO]

merci

ok je vais les telecharger tous apres je verrai

sinon pour

[dcz]

Dans le .htaccess principale, celui contenant les rewriterules du forum et les ban d'ip, cela est valable de partout comma ça.

Et de rien

[morphoSEO]

j'ai trouvé ça dans le net

http://www.megaupload.com/?d=KYBXJ2O5

mod pour se securiser contre les attaques de flood

que dites vous ?

[gowap]

Disons que si quelqu'un veut stresser ton serveur en envoyant quantité de requetes, ca aidera d'avoir ce script, mais faut bien voir que cela induit quand meme une charge (requetes sql). tant que cela consomme moins de requetes sql qu'un chargement normal de page, alors c'est OK. Et puis ca bloque toute sorte d'autres malotrus.

C'est le script que j'utilise aussi chez moi, modifié pour qu'il envoie un mail quand il bloque quelqu'un, et avec une liste blanche a tout hasard (si google veut bcp de pages par minute, je m'en fous, je lui donne )

[dcz]

Oué, je suis pas franchement persuadé qu'un tel script tiendrait longtemps en cas de ddos.

C'est déjà pas évident de les bloquer directement depuis Apache, en faisant l'économie de php / Mysql et pas complètement sûr de carrément confier la tache à un routeur.

Tout dépends de l'intensité de l'attaque.

Dans le cas de 007007, ça pourrait tout de même aider, vu que l'attaque semble n'avoir réussi a surcharger le serveur SQL, apache était encore là vu qu'il y avait un message.

Donc, on peut penser que la requête et le peut de code du script aurait pu suffire à la contrer, ou du moins à mieux faire passer la pilule.

Mais sur une vrai ddos capable de faire tomber un serveur, un tel script ne serait pas d'une très grande utilité.

Enfin, des attaques comme ça suppose tout de même des moyens et de la volonté.
Pas si souvent donc.

++

[morphoSEO]

merci à vous 2

pour config_base.php il doit etre en quel chmod ? 644 par defaut ?

edit :un lien utile http://www.toulouse-renaissance.net/c_outils/c_anti_aspirateurs.htm

[morphoSEO]

avant dernier message edité

sinon question : ou peut on mettre un tuto ici ? je vais regrouper tous les astuces données pour faire un tuto qui explique comment se securiser des attaques de flood

@+

[dcz]

Pour config_base.php, je pense que le chmod par défaut suffit, mais un ti :

[morphoSEO]

le tuto est fait

je vais l'ameliorer au fur et à mesure