DDoS par les machines Amazonaws.com, Your-server.de, etc
27 février 2015
Tous les soirs depuis plusieurs jours, le serveur qui héberge ce site finit par céder sous les poids des requêtes Http issues de plusieurs machines, m’obligeant à le redémarrer au moins une fois par jour. Confronté au problème il y a quelque mois, j’avais adopté la solution « soft ». Et puis de guerre lasse, j’avais dû me résoudre à employer l’artillerie lourde en jouant du pare -feu, iptables.
C’est la solution que j’ai une nouvelle fois choisie face aux assauts répétées des machines du type :
- ec2-107-20-xxx-xxx.compute-1.amazonaws.com
- ec2-54-xxx-xxx-xxx.compute-1.amazonaws.com
- static.xxx.xxx.251.148.clients.your-server.de
- static.xxx.xxx.76.144.clients.your-server.de
Au regard des logs du serveur Apache remontés par Awstats, j’ai juste pu constater qu’au niveau des machines Amazonaws, il s’agissait de robots usurpant le user agent de navigateurs. Concernant les machines du type clients.your-server.de, il s’agit du service FeedBooster de lecture de flux RSS.
Là-dessus, j’ai ajouté un bouquet d’adresses de machines venant de l’Est – 46.151.52.0/18 – qui tentent des spams de commentaires. A noter, une bizarrerie. Je suis assailli de requêtes sur mes fils RSS provenant de la part d’une machine – dont l’ip est 168.63.55.72 appartenant à Microsoft et dont le user agent est Foo ! Microsoft n’est pas le seul à utiliser ce drôle de user agent. Il y a aussi Google avec la machine 66.249.64.46 et semrush. Il s’agit sans doute d’un moyen de contourner les techniques dites de cloaking!
Iptables
Dans mon fichier /etc/sysconfig/iptables de ma CentOS 7, j’ai donc fini par ajouter :
#McMillan -A INPUT -s 12.36.121.0/24 -j DROP #Russie/Ukraine -A INPUT -s 46.151.52.0/18 -j DROP #Amazonaws -A INPUT -s 107.20.0.0/10 -j DROP -A INPUT -s 54.0.0.0/8 -j DROP #your-server.de -A INPUT -s 144.76.0.0/16 -j DROP -A INPUT -s 148.251.0.0/16 -j DROP #Servertohell.net -A INPUT -s 109.74.0.0/18 -j DROP
J’attends les prochaines attaques en déni de service de pied ferme.