Attaque en DDoS

Cela faisait longtemps que je n’avais pas subi des attaques sur mon serveur. Là, elles font suite à mon opposition sur le pass sanitaire et une politique de vaccination étendu à toute la population, notamment au niveau de nos enfants, mis en œuvre par le gouvernement français. Statistiquement, personne ne meurt dans ce pays du COVID au dessous de 44 ans. Peu importe.

Concernant cette attaque, je ne l’aurais pas vu si je n’avais pas journalisé l’activité de mes sites de manière différenciée. Autrement dit, la granularité des journaux d’activité est un élément important de l’organisation de la sécurité de vos serveurs.

Enfin, j’ai eu très récemment la bonne idée de passer ma clé SSH à 4096 bits. Je n’ai pour l’heure aucune tentative d’accès à mes serveurs via ce protocole. Vous pouvez le vérifier à l’aide des commandes last et lastb.

Analyse des logs d’abord

Après avoir constaté un ralentissement dans la diffusion du contenu de mes différents sites, j’ai constaté une montée du nombre de pages consultées, décorrélé du nombre de visites via le logiciel de mesure d’audience Awstats dans Jours du mois. 3216 pages le 16 août ! Du jamais vu.

Awstats > Jours du mois

Toujours dans Awstats (Hôtes > Liste complète), j’ai pu constater qu’il s’agissait, pour l’essentiel, de tentatives de connexion et d’attaques en DDoS venant d’Israël. Le suffixe DNS .il est là pour prouver cette assertion. J’ai diffusé des documents de pharmacovigilance venant de ce pays montrant une hausse des fréquentations d’attaques cardiaques de près de 50%. Certains twittos prétendent à l’existence d’un accord secret entre Pfizer et le gouvernement israélien sur la non publication de documents de pharmacovigilance. Certains estiment le nombre de morts issus de ce pays à 17500 personnes. Je n’ai aucune source me confirmant ce chiffre astronomique, là on parle de 21000 personnes pour l’Europe, près de 6200 pour les États-Unis et un peu moins de 1000 pour la France.

Awstats > Hôtes > Liste complète

Résoudre les adresses Ip

Grâce à la commande nslookup ou dig sous Linux, j’ai cherché à résoudre les adresses Ip.

C:\Users\Administrateur>nslookup bzq-82-80-249-137.dcenter.bezeqint.net
Serveur :   localhost
Address:  ::1

Réponse ne faisant pas autorité :
Nom :    bzq-82-80-249-137.dcenter.bezeqint.net
Address:  82.80.249.137

Localiser les adresses Ip

J’ai ensuite utilisé le site db-ip.com pour localiser les adresses Ip. Il vaut mieux connaître son adversaire et les raisons qui peut l’amener à vous attaquer.

Attaque en DDoS

D’autres adresses, comme celles liées aux suffixes barak-online.net ou barak.net.il ne peuvent pas être résolues. Qu’à cela ne tienne !

Configuration du pare-feu

Muni de ces adresses, j’ai donc ajouté quelques règles aux fichiers de configuration de mon pare-feu, /etc/sysconfig/iptables pour l’IPv4 et /etc/sysconfig/ip6tables pour l’IPv6. J’ai volontairement évité de vous donner toutes les adresses, certaines d’entre elles se situant en Suède, en Pologne, mais aussi à Paris. Pour toutes ces adresses ou bouquets d’adresse, j’ai ajouté une règle dans mes fichiers du type :

-A INPUT -s 82.80.249.137/32 -j DROP

Pensez à redémarrer vos services :

systemctl restart iptables ip6tables

Bloquer les hosts dans les fichiers de configuration Apache

J’ai pris le temps d’ajouter à l’un de mes nombreux fichiers de configuration Apache /etc/httpd/conf.d/00-rewriting.conf :

RewriteCond %{REMOTE_HOST} "\.(barak-online|barak|bezeqint)\." [NC,OR]
RewriteCond %{REMOTE_HOST} "\.il$" [NC]
RewriteRule ".*" "/index.html" [QSA,R=302,L]

Pensez à recharger la configuration :

systemctl reload httpd
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS
Attaque en DDoS

Sécurité  / Formateur Sécurité informatique