Tentative de DDoS infructueuse

Tentative de DDoS infructueuseL’attaque DDoS a commencé ce matin à 12 h 00. Elle émane de la machine AWS ec2-54-93-254-166.eu-central-1.compute.amazonaws.com., dont l’adresse ip est 54.93.254.166. Jusqu’à ce que j’inscrive son adresse ip dans mon fichier Iptables  à 15 h 05, elle a effectué précisément 208841 requêtes https, soit un peu plus de 19 requêtes à la seconde en plus du trafic habituel. 240877 requêtes au total.  Ajoutez-y les images, les scripts et les feuilles de styles, soit en moyenne 15 requêtes par page. Pour tout vous dire, je ne me suis rendu compte de rien, jusqu’à ce que je reçoive un mail montrant une tentative d’injection par formulaire, dans lequel figurait le mot tenable. Tenable est l’éditeur du scanner de vulnérabilités NessusMon serveur Apache est solidement configuré  ! J’espère juste qu’il ne s’agit pas d’un de mes stagiaires auquel j’ai montré Nessus la semaine dernière. ;+) 

Deny

Dans un 1er temps, j’ai cherché à protéger mes pages sensibles en ajoutant à un de mes nombreux fichiers de configuration Apache:

<files ~ "(wp-comments-post|securimage_show|admin-ajax)\.php">
Order allow,deny
Allow from all
...
Deny from 54.93
</files>

Rewriting 

Puis, au vu des requêtes qui s’abattaient sur mon site, j’ai ajouté à mon fichier de configuration Apache, pour bloquer le user-agent Nessus :

RewriteCond %{HTTP_USER_AGENT} "^Nessus" [NC]
RewriteRule ".*" "%{HTTP_HOST}/index.html" [QSA,R=302,L]

Iptables

Comme le flux des requêtes ne cessait de s’accélérer du fait de la redirection, j’ai alors décidé d’en terminer avec cette plaisanterie, en ajoutant à mon fichier /etc/sysconfig/iptables :

-A INPUT -s 54.93.254.166 -j DROP

J’attends la suite avec beaucoup de sérénité ! ;+)

LAMP  / Apache DDoS Déni de service Formateur Apache Formateur LAMP Lamp Nessus 

Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)