Index du Forum » » Sécurité

Auteur

Bombardage d'une url
fliaigre
916      

  Posté : 29-11-2008 15:39

Comment est-ce possible?

Depuis 2 jours ma base est bloquée par mon hébergeur sous le prétexte suivant : "dû aux surcharges que votre base de données
provoquait sur notre serveur sql. Afin de garantir une qualité
de service pour l'ensemble des autres bases hébergées sur ce serveur,
nous sommes contraints de désactiver toutes les bases de données qui
provoquent des ralentissements."

Motif de départ des requêtes en relation avec le forum. Après discussion avec Dev, j'ai activé supercache et ai demandé la remise à disposition de la base. 5mn et base rebloquée.

Je me suis alors penché sur les logs mis à disposition par ovh, mon hébergeur et me suis rendu compte que j'étais spammé sur une url incluant minisite.php

Imaginez d'environ 40 000 pages en une journée, ce qui est déjà pas mal, les stats URCHIN ont enregistré 1 500 991 pages demandées pour la seule journée de vendredi. 1 785 121 fois l'url ministe.php

Vous imaginez le nombre de requêtes...

Le log serveur web de la journée de vendredi pèse 575 Mo contre 2 Mo environ.

En attendant de trouver une solution j'ai supprimé minisite.php du répertoire ce qui affiche des erreurs 404, mais c'est le fichier d'erreur qui grossit du coup, mais je pense que la base ne serait pas mise à contribution, non?

Dev me propose de bannir mais le pb est que l'attaque est une suite de rafales de 15 à 20 pages demandées avant de changer d'IP.

Principaux domaines concernés : totbb.net et co.th

Extrait de log :

"pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\\" HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
pool-71-107-19-241.lsanca.dsl-w.verizon.net www.pharmechange.com - [29/Nov/2008:00:01:16 +0100] "GET /minisite.php?op=aspharcom&page=\"adhere.html\"\\' HTTP/1.1" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.12540)"
c-98-223-157-251.hsd1.in.comcast.net www.pharmechange.com - [29/Nov/2008:00:01:59 +0100] "GET /minisite.php?op=aspharcom)&page=\"adhere.html\" HTTP/1.0" 200 12050 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"

Ma question que faire...prévenir la police?

Merci pour votre aide.



Cet article provient de NPDS

http://www.npds.org/viewtopic.php?topic=24034&forum=12