slt

dernierement mon site ( portal + phpBB ) a subi des attaques de flood ( ddos je pense ) qui ont mis le forum completement hors service

Code: Tout sélectionner

phpBB : Erreur critique

Could not connect to the database

comment se securiser de ça svp ? en plus les hackers m'ont contacté pour me menacer et apres meme pas 30 min le forum est devenu HS

infos : mon heberger est *allo-heberge*

merci d'avancez pour votre aide

Bon, le fait que la db ait saturé ne veut pas dire qu'il y a vraiment eu une attaque DDos.

En fait sur un serveur mutu, le nombre de connexions simultanées à la db est en général assez limité, genre 10, rarement beaucoup plus.

Du coup, il est pas très difficile de saturer le serveur, deux ou trois cent chargement de l'index au même instant peuvent suffire.

Et là, et bien, à part bannir la ou plus vraisemblablement les ip, on peut pas faire grand chose.

C'est d'ailleurs le cas pour les attaques DDos, on peut bien entendu filtrer quelques requêtes évidentes, mais si quelqu'un veut vraiment faire tomber un serveur, et qu'il en a les moyens, alors il y a peut de chances de résister longtemps, même en bannissant les ip à tour de bras.

Après, il y a aussi un grande différence entre tomber un serveur et le hacker, une attaque ddos peut servir masque ou faciliter un hacking, mais en général, l'attaque se borne à saturer le serveur jusqu'au plantage.

Un conseil pas si bête en cas d'attaque vraiment rude et de fermer le serveur quelques heures, c'est moins gênant que de le laisser craquer complètement, car dans certains cas violent, cela peut aussi l'endommager.

Mais bon, la je te fait la théorie, en pratique, plus le serveur est puissant et plus il a de bande passante, plus il faudra y mettre de l'énergie pour le faire tomber.

De très gros réseaux ont été attaqué de la sorte jusqu'à épuisement partiel ou total. Tout dépend de ce qu'il y a en face.

Donc, tout dépend de la taille et de l'importance de ton site. La question est as tu affaire à une vrai menace ou simplement à un petit malin qui essai de te faire peur.

Dans les deux cas, isole la ou les ip dans tes logs et fait des spam report après recherche sur le whois : http://www.dnsstuff.com
c'est le seul moyen durable de lutter, leur montrer que de t'attaquer n'est pas sans risques. Ça ne fait jamais plaisir de perdre l'usage d'ip "d'attaque".

Et aussi question, est-ce que tu as dû réinstaller ton forum ? Ou une fois l'attaque passée, tout est revenu au beau fixe ?

++

slt

dans mon cas c'est une vrai menace : à chaque fois qu'on remet le forum il nous attaque et par 3 dédiés en plus

sinon j'ai pas bien compris ça

spam report après recherche sur le whois : http://www.dnsstuff.com

car je sais pas comment faire pour bloquer ses ips ( ils peuvent les changer non )

et pour ta question

Ou une fois l'attaque passée, tout est revenu au beau fixe ?

oui, tout est redevenu normal


bonne journéée et merci de m'avoir aidé

@+

Sur http://www.dnsstuff.com/ il faut balancer l'ip ou le domaine dans :

WHOIS Lookup
Lists contact info for a domain/IP

Sur la page de résultats, tu trouvera un lien :

click here to get the results with the E-mail address

Tu cliques, et tu verra les mails apparaître.

Il y a en général un mail spam report, ou admin contact, c'est celui à utiliser pour envoyer un mail au vrai proprio de l'ip ou du serveur, pas le loueur.

Et si tu as identifié que 3 dédiés étaient à l'origine de tout ça, il y a donc déjà trois ip à bannir et à spam reporter.
Et tu peux aussi en faire part à ton hébérgeur, dés fois qu'il soit consciencieux, il va les bloquer avant même qu'elles ne touchent ton serveur. Car après tout, si tu es en mutu, il n'attaque pas que ton site du coup.

Pour bannir des ip :

Tu mets :

Code: Tout sélectionner

Deny from xx.xx.xx.xx
Deny from yy.yy.yy.yy

au début de ton .htaccess, ou xx.xx.xx.xx est bien entendu un ip à bannir.

Ça c'est radical.

Et donc, il semble bien que ce petit malin joue à surcharger ton serveur sans vraiment le hacker. Mais soit attentif tout de même.

Met bien des .htaccess avec :

Code: Tout sélectionner

Deny from all

Dans les dossier includes/ et db/ de ton forum.

Idéalement, complètes par un .htpasswd sur ton dossier admin.

++

merci

les htacces sont bien mis dans le dossier db et includes ( pour l'admin je voit pas trop son utilité, j'ai deja changer le repertoire admin et j'ai obligé la connexion avant d'acceder je pense que c'est suffisant )

sinon juste une question concernant les logs , dans mon ftp y'a 5 dossiers logs access_log ( 300 mo ) et 4 access_log.gz, je dois ouvrire lequel pour savoir les ips qui nous ont attaqué ?

@+

Le dernier modifié après l'attaque.

Plus précisément, c'est difficile à dire, ça dépend, en générale, les .gz sont vieux, c'est de l'archivage.

Tu trouvera les ip soit parce que tu verra plein de requêtes standards très rapprochées (plusieurs par seconde) soit parce que tu verra des URI bizarre, genre avec des "/*" ou autres exotismes dans l'url demandée (rapprochées aussi probablement).

Vérifies aussi si tu n'as pas des tentatives d'accès au dossiers admin/ db/ et includes/, admin/ aussi, car le hackeur ne sait pas forcément que tu ne l'utilises pas.

Et config.php aussi, d'ailleurs, j'ai oublié de te dire de mettre :

Code: Tout sélectionner

<Files config.php>
Deny from all
</Files>

Au début de ton .htaccess.

Tu peux bannir sans réfléchir toutes les tentative d'accès à config.php, includes/ et db/, pour admin/ aussi, dans la mesure ou ce n'est pas toi

Et ça vaut tout de même le coup de re mettre une couche de mot de passe dans le dossier admin, c'est un petit pas pour le webmestre, mais un grand pas pour la sécurité de son site

++

merci

ok je vais les telecharger tous apres je verrai

sinon pour

Code: Tout sélectionner

<Files config.php>
Deny from all
</Files>

je dois les ajouter dans les htacces ( includes/db ) seulement ou dans le htacces ( celui pour bloquer les bots ) enfaite ce htacces je dois le mettre dans la racine avec forum et index.html n'est ce pas ? et le code que tu m'as donné je dois le mettre avant ou apres Deny from all


bonne journée

PS : tres bon site, tres bon staff chapeau à vous ^^

Dans le .htaccess principale, celui contenant les rewriterules du forum et les ban d'ip, cela est valable de partout comma ça.

Et de rien

j'ai trouvé ça dans le net

http://www.megaupload.com/?d=KYBXJ2O5

mod pour se securiser contre les attaques de flood

que dites vous ?

Disons que si quelqu'un veut stresser ton serveur en envoyant quantité de requetes, ca aidera d'avoir ce script, mais faut bien voir que cela induit quand meme une charge (requetes sql). tant que cela consomme moins de requetes sql qu'un chargement normal de page, alors c'est OK. Et puis ca bloque toute sorte d'autres malotrus.

C'est le script que j'utilise aussi chez moi, modifié pour qu'il envoie un mail quand il bloque quelqu'un, et avec une liste blanche a tout hasard (si google veut bcp de pages par minute, je m'en fous, je lui donne )

Oué, je suis pas franchement persuadé qu'un tel script tiendrait longtemps en cas de ddos.

C'est déjà pas évident de les bloquer directement depuis Apache, en faisant l'économie de php / Mysql et pas complètement sûr de carrément confier la tache à un routeur.

Tout dépends de l'intensité de l'attaque.

Dans le cas de 007007, ça pourrait tout de même aider, vu que l'attaque semble n'avoir réussi a surcharger le serveur SQL, apache était encore là vu qu'il y avait un message.

Donc, on peut penser que la requête et le peut de code du script aurait pu suffire à la contrer, ou du moins à mieux faire passer la pilule.

Mais sur une vrai ddos capable de faire tomber un serveur, un tel script ne serait pas d'une très grande utilité.

Enfin, des attaques comme ça suppose tout de même des moyens et de la volonté.
Pas si souvent donc.

++

merci à vous 2

pour config_base.php il doit etre en quel chmod ? 644 par defaut ?

edit :un lien utile http://www.toulouse-renaissance.net/c_o ... ateurs.htm

avant dernier message edité

sinon question : ou peut on mettre un tuto ici ? je vais regrouper tous les astuces données pour faire un tuto qui explique comment se securiser des attaques de flood

@+

Pour config_base.php, je pense que le chmod par défaut suffit, mais un ti :

Code: Tout sélectionner

<Files config_base.php>
Deny from all
</Files>

Dans le .htaccess principal peut aider.

Pour le tuto, aucun souci, poste tout ce que tu veux, mais dans ce cas précis, note tout de même que L'on a fait que sécuriser un peu plus le site, sans solution final contre le hack, et encore moins contre une vrai attaque ddos.

L'ensemble des mesures que tu as prises intéresseront certainement du monde, mais cela ne peut pas être pris comme une solution définitive.

++

le tuto est fait

je vais l'ameliorer au fur et à mesure