Tentative de DDoS infructueuse
22 février 2018
L’attaque DDoS a commencé ce matin à 12 h 00. Elle émane de la machine AWS ec2-54-93-254-166.eu-central-1.compute.amazonaws.com., dont l’adresse ip est 54.93.254.166. Jusqu’à ce que j’inscrive son adresse ip dans mon fichier Iptables à 15 h 05, elle a effectué précisément 208841 requêtes https, soit un peu plus de 19 requêtes à la seconde en plus du trafic habituel. 240877 requêtes au total. Ajoutez-y les images, les scripts et les feuilles de styles, soit en moyenne 15 requêtes par page. Pour tout vous dire, je ne me suis rendu compte de rien, jusqu’à ce que je reçoive un mail montrant une tentative d’injection par formulaire, dans lequel figurait le mot tenable. Tenable est l’éditeur du scanner de vulnérabilités Nessus. Mon serveur Apache est solidement configuré ! J’espère juste qu’il ne s’agit pas d’un de mes stagiaires auquel j’ai montré Nessus la semaine dernière. ;+)
Deny
Dans un 1er temps, j’ai cherché à protéger mes pages sensibles en ajoutant à un de mes nombreux fichiers de configuration Apache:
<files ~ "(wp-comments-post|securimage_show|admin-ajax)\.php"> Order allow,deny Allow from all ... Deny from 54.93 </files>
Rewriting
Puis, au vu des requêtes qui s’abattaient sur mon site, j’ai ajouté à mon fichier de configuration Apache, pour bloquer le user-agent Nessus :
RewriteCond %{HTTP_USER_AGENT} "^Nessus" [NC]
RewriteRule ".*" "%{HTTP_HOST}/index.html" [QSA,R=302,L]
Iptables
Comme le flux des requêtes ne cessait de s’accélérer du fait de la redirection, j’ai alors décidé d’en terminer avec cette plaisanterie, en ajoutant à mon fichier /etc/sysconfig/iptables :
-A INPUT -s 54.93.254.166 -j DROP
J’attends la suite avec beaucoup de sérénité ! ;+)