DDoS par les machines Amazonaws.com, Your-server.de, etc

DDoS par les machines Amazonaws.com, de Your-server.de, etcTous les soirs depuis plusieurs jours, le serveur qui héberge ce site finit par céder sous les poids des requêtes Http issues de plusieurs machines, m’obligeant à le redémarrer au moins une fois par jour. Confronté au problème il y a quelque mois, j’avais adopté la solution « soft ». Et puis de guerre lasse, j’avais dû me résoudre à employer l’artillerie lourde en jouant du pare -feu, iptables.

C’est la solution que j’ai une nouvelle fois choisie face aux assauts répétées des machines du type :

Au regard des logs du serveur Apache remontés par Awstats, j’ai juste pu constater qu’au niveau des machines Amazonaws, il s’agissait de robots usurpant le user agent de navigateurs. Concernant les machines du type clients.your-server.de, il s’agit du service FeedBooster de lecture de flux RSS.

Là-dessus, j’ai ajouté un bouquet d’adresses de machines venant de l’Est – 46.151.52.0/18 – qui tentent des spams de commentaires. A noter, une bizarrerie. Je suis assailli de requêtes sur mes fils RSS provenant de la part d’une machine – dont l’ip est 168.63.55.72 appartenant à Microsoft et dont le user agent est Foo ! Microsoft n’est pas le seul à utiliser ce drôle de user agent. Il y a aussi Google avec la machine 66.249.64.46 et semrush. Il s’agit sans doute d’un moyen de contourner les techniques dites de cloaking!

Iptables

Dans mon fichier /etc/sysconfig/iptables de ma CentOS 7, j’ai donc fini par ajouter :

#McMillan
-A INPUT -s 12.36.121.0/24 -j DROP
#Russie/Ukraine
-A INPUT -s 46.151.52.0/18 -j DROP
#Amazonaws
-A INPUT -s 107.20.0.0/10 -j DROP
-A INPUT -s 54.0.0.0/8 -j DROP
#your-server.de
-A INPUT -s 144.76.0.0/16 -j DROP
-A INPUT -s 148.251.0.0/16 -j DROP
#Servertohell.net
-A INPUT -s 109.74.0.0/18 -j DROP

J’attends les prochaines attaques en déni de service de pied ferme.

LAMP  / Apache Bing DDoS Formateur Awstats Iptables Sécurité informatique User Agent 

Commentaires

Bonjour,

Tu peux utiliser les services de Cloudflare qui te permettra d’alléger ton site web et de bloquer les certaines attaques.
Cela n’empêche pas bien entendu, de mettre en place les procédures comme tu le fais afin de sécuriser au maximum ton serveur.

Bonne journée

Mathias

@Mathias

Pas trop chaud. Je suis sur une autre piste : problème avec le plugin Google XML Sitemap. Merci pour ton commentaire très constructif !

NB Je vais peut-être utiliser CloudFlare pour les images utilisées en hotlinking, bien que, depuis quelques temps, je tape plutôt dans Pinterest, Facebook, Blogspot et d’autres plates-formes CDN.

Bonjour,

J’ai subi récemment une attaque DDOS… L’attaque venait des IPs d’Amazon Web Services. C’est… fatiguant…

Ayant monté mon site tout récemment, j’en ai fais un billet car je pense qu’on va en entendre parler de plus en plus… http://www.sebastien-gelsumini.com/pourquoi-comment-bloquer-plages-ip-amazon-web-services/

@Seb

Entièrement d’accord avec vous. Pour Amazon, c’est lié au fait qu’il propose une période d’essai gratuite.

Bonjour,

C’est ce que j’ai fini par faire également sur mon serveur et j’ai banni les IPs des serveurs du datacenter EC2.

En complément, voir également ce site : http://www.wizcrafts.net/

Laisser un commentaire

(requis)

(requis)