NPDS
Responsive
NPDS REvolution 16.8
1 visiteur(s) et 0 membre(s) en ligne.
Mercredi 22 avril 2026 à 23:52:03
Mercredi 22 avril 2026 à 23:52:03
Anciens articles
- Samedi, 06 juillet
- Au collège Emmanuel de MARTONNE de 1995 à 2024 : Peut-on travailler autrement avec le numérique ?
- Les Frigoristes passent en 16.4
- Lundi, 15 avril
- Un module N P D S dans la littérature !
- REvolution v.16.4
- Lundi, 06 novembre
- Toutes les belles aventures ont une fin, et, le 6 octobre 2023, nous fermons le portail de TÉC.
Index du forum »» Sécurité »» Bombardage d'une url
Nouveau sujet
Bombardage d'une url#24034Répondre
7Contributeur(s)
3 Modérateur(s)
fliaigre
Comment est-ce possible?
Depuis 2 jours ma base est bloquée par mon hébergeur sous le prétexte suivant : "dû aux surcharges que votre base de données
provoquait sur notre serveur sql. Afin de garantir une qualité
de service pour l'ensemble des autres bases hébergées sur ce serveur,
nous sommes contraints de désactiver toutes les bases de données qui
provoquent des ralentissements."
Motif de départ des requêtes en relation avec le forum. Après discussion avec Dev, j'ai activé supercache et ai demandé la remise à disposition de la base. 5mn et base rebloquée.
Je me suis alors penché sur les logs mis à disposition par ovh, mon hébergeur et me suis rendu compte que j'étais spammé sur une url incluant minisite.php
Imaginez d'environ 40 000 pages en une journée, ce qui est déjà pas mal, les stats URCHIN ont enregistré 1 500 991 pages demandées pour la seule journée de vendredi. 1 785 121 fois l'url ministe.php
Vous imaginez le nombre de requêtes...
Le log serveur web de la journée de vendredi pèse 575 Mo contre 2 Mo environ.
En attendant de trouver une solution j'ai supprimé minisite.php du répertoire ce qui affiche des erreurs 404, mais c'est le fichier d'erreur qui grossit du coup, mais je pense que la base ne serait pas mise à contribution, non?
Dev me propose de bannir mais le pb est que l'attaque est une suite de rafales de 15 à 20 pages demandées avant de changer d'IP.
Principaux domaines concernés : totbb.net et co.th
Extrait de log :
"pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\\" HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\' HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
c-98-223-157-251.hsd1.in.comcast.net www.pharmechange.com - [29/Nov/2008:00:01:59 +0100] "GET /minisite.php?op=aspharcom)&page=\"adhere.html\" HTTP/1.0" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
Ma question que faire...prévenir la police?
Merci pour votre aide.
Depuis 2 jours ma base est bloquée par mon hébergeur sous le prétexte suivant : "dû aux surcharges que votre base de données
provoquait sur notre serveur sql. Afin de garantir une qualité
de service pour l'ensemble des autres bases hébergées sur ce serveur,
nous sommes contraints de désactiver toutes les bases de données qui
provoquent des ralentissements."
Motif de départ des requêtes en relation avec le forum. Après discussion avec Dev, j'ai activé supercache et ai demandé la remise à disposition de la base. 5mn et base rebloquée.
Je me suis alors penché sur les logs mis à disposition par ovh, mon hébergeur et me suis rendu compte que j'étais spammé sur une url incluant minisite.php
Imaginez d'environ 40 000 pages en une journée, ce qui est déjà pas mal, les stats URCHIN ont enregistré 1 500 991 pages demandées pour la seule journée de vendredi. 1 785 121 fois l'url ministe.php
Vous imaginez le nombre de requêtes...
Le log serveur web de la journée de vendredi pèse 575 Mo contre 2 Mo environ.
En attendant de trouver une solution j'ai supprimé minisite.php du répertoire ce qui affiche des erreurs 404, mais c'est le fichier d'erreur qui grossit du coup, mais je pense que la base ne serait pas mise à contribution, non?
Dev me propose de bannir mais le pb est que l'attaque est une suite de rafales de 15 à 20 pages demandées avant de changer d'IP.
Principaux domaines concernés : totbb.net et co.th
Extrait de log :
"pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\\" HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\' HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
c-98-223-157-251.hsd1.in.comcast.net www.pharmechange.com - [29/Nov/2008:00:01:59 +0100] "GET /minisite.php?op=aspharcom)&page=\"adhere.html\" HTTP/1.0" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"
Ma question que faire...prévenir la police?
Merci pour votre aide.
Hotfirenet
Citation : fliaigre
Ma question que faire...prévenir la police?
Ma question que faire...prévenir la police?
Je ne pense pas qu'il pourront y faire quelques choses, voir comme te l'a dit Dev de bannir les ip, egalement OVH a l'air de te limiter essai de voir du coté de Infomaniak un peu plus cher mais moins de limites (Bases de données MySQL 5.x Illimité) ..
fliaigre
Oui effectivement, il va falloir y réfléchir.
Merci.
Surtout que sur ce coup là ils m'ont laissé bien seul.
En suivant mes logs, ça à l'air de se calmer, j'ai changé le nom du fichier qu'ils plombaient du coup ils ont récupéré des erreurs 404.
Au fait, il n'y a pas de cache sur minisite?
Merci.
Surtout que sur ce coup là ils m'ont laissé bien seul.
En suivant mes logs, ça à l'air de se calmer, j'ai changé le nom du fichier qu'ils plombaient du coup ils ont récupéré des erreurs 404.
Au fait, il n'y a pas de cache sur minisite?
developpeur
Non pas de cache pour minisiste.
C'est une forme de DOS (Deni de Service) en fait et je ne vois pas trop comment faire pour l'instant pour se protéger de cela.
Tu est en évolution ?
C'est une forme de DOS (Deni de Service) en fait et je ne vois pas trop comment faire pour l'instant pour se protéger de cela.
Tu est en évolution ?
fliaigre
Oui la dernière. 8.06
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
La dernière attaque : [Sun Nov 30 04:50:34 2008] [error] [client 122.53.52.10] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
C'est un serveur qui se trouve en Californie. :-P L'attaque a duré 6mn et a appelé l'url 18 fois à la seconde. :-?
Le fait que j'ai renommé minisite.php conduit directement à une erreur 404, il ne fait donc pas travailler la base?
Mon hébergeur lui, n'a t'il pas les moyens de me et se protéger de ce genre d'attaque? Parce que le premier inondé c'est lui?
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
La dernière attaque : [Sun Nov 30 04:50:34 2008] [error] [client 122.53.52.10] [host www.pharmechange.com] script not found or unable to stat: /home.2/pharmech/www/minisite.php
C'est un serveur qui se trouve en Californie. :-P L'attaque a duré 6mn et a appelé l'url 18 fois à la seconde. :-?
Le fait que j'ai renommé minisite.php conduit directement à une erreur 404, il ne fait donc pas travailler la base?
Mon hébergeur lui, n'a t'il pas les moyens de me et se protéger de ce genre d'attaque? Parce que le premier inondé c'est lui?
aidadomicil
Bjr, tu peux essayer de bloquer l'adresse ip via un htaccess à placer ou tu veux que ça bloque:
order allow,deny
deny from 78.129.208 # on interdit toutes les adresses IP commençant par 78.129.208
allow from all # on autorise tous les autres
tu n'es pas obligé d'indiquer l'adresse ip complète (ne pas mettre la derniere série de chiffres) comme ca tu bloques la plage complète, (0 à 255) tu peux même n'indiquer que les deux premieres series de chiffres, là tu bloques le pays complet.
font ch..r ! :D
une page d'explications : http://www.urlrewriting.fr/scripts16-Snipet.html
order allow,deny
deny from 78.129.208 # on interdit toutes les adresses IP commençant par 78.129.208
allow from all # on autorise tous les autres
tu n'es pas obligé d'indiquer l'adresse ip complète (ne pas mettre la derniere série de chiffres) comme ca tu bloques la plage complète, (0 à 255) tu peux même n'indiquer que les deux premieres series de chiffres, là tu bloques le pays complet.
font ch..r ! :D
une page d'explications : http://www.urlrewriting.fr/scripts16-Snipet.html
Message édité par : aidadomicil / 30-11-2008 17:14
fliaigre
En fait il s'agit probablement d'une attaque de type DDOS ==> http://fr.wikipedia.org/wiki/D%C3%A9ni_de_service
Le serveur appelant changeant toutes les x secondes.
Il n'empêche que ce n'est pas n'importe qui pour mettre en place ce type d'attaque.
Si l'attaque concerne une url en cache, l'attaque ne fonctionne pas? Rassurez moi.
Oui aidadomicil, il faudrait m'expliquer dans le détail comment sont organisé ces adresses IP, je peux me passer de l'Asie, c'est sur.
Le serveur appelant changeant toutes les x secondes.
Il n'empêche que ce n'est pas n'importe qui pour mettre en place ce type d'attaque.
Si l'attaque concerne une url en cache, l'attaque ne fonctionne pas? Rassurez moi.
Oui aidadomicil, il faudrait m'expliquer dans le détail comment sont organisé ces adresses IP, je peux me passer de l'Asie, c'est sur.
fliaigre
Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?
Hotfirenet
Citation : fliaigre
Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?
Peux tu m'expliquer par exemple sur l'IP : 122.53.52.10 ce qui caractérise le pays la ville, etc.?
essai de voir
=> http://www.radmin.fr/download/utilities.php
Anonyme
Citation : fliaigre
Oui la dernière. 8.06
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
==> Non dans un fichier TXT !
Oui la dernière. 8.06
Et Ipban inscrit dans une table or je n'ai plus accès à ma base.
==> Non dans un fichier TXT !
aidadomicil
tiens ton spammeur FLiaigre :
inetnum: 122.52.0.0 - 122.55.255.255
netname: IPG
descr: IPG
descr: Philippine Long Distance Telephone Company
country: PH
c'est une compagnie de telephone aux philipines ...
tu mets ça dans un fichier .0htaccess à la racine de ton site :
-----------------
order allow,deny
allow from all
deny from 122.52 # on interdit toutes les adresses IP commençant par 122.52
deny from 122.53 # on interdit toutes les adresses IP commençant par 122.53
deny from 122.54 # on interdit toutes les adresses IP commençant par 122.54
deny from 122.55 # on interdit toutes les adresses IP commençant par 122.55
-----------------
il y a pas mal d'adresses ip possibles .... :|
inetnum: 122.52.0.0 - 122.55.255.255
netname: IPG
descr: IPG
descr: Philippine Long Distance Telephone Company
country: PH
c'est une compagnie de telephone aux philipines ...
tu mets ça dans un fichier .0htaccess à la racine de ton site :
-----------------
order allow,deny
allow from all
deny from 122.52 # on interdit toutes les adresses IP commençant par 122.52
deny from 122.53 # on interdit toutes les adresses IP commençant par 122.53
deny from 122.54 # on interdit toutes les adresses IP commençant par 122.54
deny from 122.55 # on interdit toutes les adresses IP commençant par 122.55
-----------------
il y a pas mal d'adresses ip possibles .... :|
Message édité par : aidadomicil / 30-11-2008 23:52
Message édité par : aidadomicil / 30-11-2008 23:53
fliaigre
Mecrci aidadomicil, je suis en train de faire la liste des IP il y en a au moins une centaine. :D
developpeur
Citation : fliaigre
OK vu spam.log mais quel sens a le chiffre à la fin :1, :2 etc.
OK vu spam.log mais quel sens a le chiffre à la fin :1, :2 etc.
:5 le spammeur ne passe plus / en dessous c'est les essais qu'il lui reste ...