Etranges attaques depuis 48H
Mon blog est victime depuis 48 heures d'étranges comportements. Je vois arriver des connexions par dizaine, voir centaine en quelques minutes depuis une même adresse IP à chaque fois. Vous, cher lecteur avec IE, Firefox ou Safari ne faite que de 2 a 10 connexions "simultanées" pour voir un billet : texte, images, logos etc... Tout ceci dans un temps moyen qui est facilement reconnaissable.
Par contre ces connexions massives et étranges sont simples: elle ont la forme d'un lecteur hystérique qui demanderait en gros tous les billets publiés depuis 6 mois, et ce à grande vitesse et dans un laps de temps très court. De ce fait, le serveur Web reçoit d'un seul coup des dizaines, voir centaines de demandes de connexions à gérer dans un temps donné. Cela représente de 50 a 200 fois la charge de travail habituelle. La mémoire consommée est de plus en plus grande, les requêtes de base de données consomment de plus en plus de CPU.. et au final le blog ne répond plus.
On appelle cela un attaque par Deni de Service. Leur but est de rendre le site ou le blog inaccessible. Tout cela est un délit pénal. Je suis en contact avec un avocat pour donner les suites adéquates. La plupart de ces attaques viennent de France, de SSII ou d'autres entreprises. Et bien sûr, je conserve les journaux de connexions montrant ces faits délictueux.
Etrangement cela vient après la publication de billets sur Nicolas Princen. Il est assez facile de faire un lien de cause à effet.
Commentaires
OK effectivement ton site est pollué et moi j'ai un spyware ...
Mais fais gaffe à la diffamation ...
Y a pas une société qui s'appelle "Elysée SA" dans toutes ces Ip ? Ou "France Ltd" ?
Bon, moi je dis ça...
http://lesmots.freelatitude.net
Pas de parano prématurée. Votre ennemi n'est pas forcément à l'Elysées.
JR
oui attention à la diffamation
:)
Un militant UMP quelque peu informaticien qui digère mal le résultat des munipales ? Un fan de Nicolas (Princen ou autre...) qui n'aime pas qu'on se gausse de ses idoles ?
C'est fichtrement casse-pieds, en tout cas.
Étrange oui !
Ce genre d'attaques a récemment eu lieu sur les réseaux P2P ou Torrent.
Je trouve cela très inquiétant parce que j'y vois les prémices de futures guerres sales de la part des anti-piratage. Nos libertés individuelles sont menacées...
Voir ici et là
Quand au lien avec l'autre little brother, il n'y a effectivement pas beaucoup à faire pour songer à des barbouzeries d'un nouveau genre...
L'avant projet de loi Olivennes et autres cachoteries, avant passage au Conseil d'état.
Je suis très mono-source pour le c...
Je dis ça mais je suis peut-être par trop parano !
C'est l'effet American psycho ! Désolé...
DST, NSA, MI6 ? Ça y est, j'ai trouvé, Nadine Morano qui veut se pacser avec toi pour ensuite adopter !!!
Non, cépassa ?
Bon OK, jeu sort!!
;O))
Tiens un petit exemple :
une adresse IP en 193.149.*.* chez un fournisseur français... 650 requêtes HTTP en 30 secondes, pour lire dans ce laps de temps 650 billets , dont ceux d'un an d'âge : ça ne vous parait pas étrange ?
J'ai eu la même chose sur mon blog archipel rouge au mois de decembre:milles requetes en 1 jour et il y a un mois qq s'est fait passer pour un inspecteur de police pour me menacer d'un dépot de plainte au sujet d'un article qui date d' il y a un an, toujours le même modus operandi dirait on, il faudrait croiser les IP pour voir ... alors ça peut être tout et n'importe quoi. Soit des initiatives, isolées, soit des trucs plus organisés ... mais une chose est sûre : une certaine forme d'attaque existe bel et bien.
Dagrouik, est-ce que ton site a effectivement crashé ? Parce que s'il s'agit effectivement d'une attaque, ça aurait été l'objectif j'imagine... Ce que tu décris pourrait aussi coller avec un aspirateur de site web (un programme qui explore systématiquement un domaine pour créer une copie locale). Dans la mesure où tu as eu un gros coup de pub avec libération, il se peut que des admirateurs en herbe aient voulu se faire une copie de tes archives...
Mais bon, l'hypothèse d'un crétin NRV et qui aurait à moitié raté son coup semble aussi crédible...
il ya aussi google analytics qui avec un nouveau service d'ananlyses comparatives lance peut etre de "nouveaux" bots ...
gardons un oeil sur nos journaux ;) de co ne x
J'ai une avocate qui peut potentiellement nous défendre: amie politique de surcroît.Elle est ok..Je suis prêt à la contacter pour quiconque, parmi nos blogs, subirait des attaques en diffamation ou bien le délit que tu penses caractériser là...
Ah ! avoir des ennemis : le rêve secret de tout blogueur...
@Didier Goux: Mon blog je le gère moi même, ça me prend du temps et donc je n'ai pas envie de voir des crétins essayer de le mettre en vrac. Peut-être que tu ne connais rien à la chose technique, alors ne juge pas sans essayer de comprendre ou faire de l'ironie. La machine unix qui gère ce blog sert aussi à rendre service à des connaissances, et leur permet de faire des économies d'hébergement.
D'autre part tu va être déçu: ce blog m'a permis de rencontrer des gens sympas, et de me faire des amis. Ceux là sont plus important que les éventuels ennemis dont tu parle.
@CLS: un aspirateur Web ne fonctionne pas pareil: il va descendre une arborescence en partant de l'index et en suivant les liens. Ici c'est une liste de billets qui est ouverte et étrangement c'est presque la même à chaque fois!
J'ai utilisé un tel outil pour teste la configuration, en général il ne font pas plus de 10 ou 20 connexions simultanées, là je parle de 150 ou 200 d'un coup ou quelques secondes. Ce qui est bien plus qu'un simple aspirateur Web.
Ensuite comment expliquer le nombre d'attaques en forte hausse depuis 48 heures. Que celles-ci se produisent souvent dans la tranche 12h-15 heures... ou alors vers 8H30 du matin. Jamais dans d'autres créneaux horaires.
Que ces requêtes ne viennent pas de connexions ADSL grand public, mais de connexion d'entreprises qu'on identifie facilement quand on sait s'y prendre....
Si c'est un crétin NRV, je lui souhaite d'être solvable...
Si c'est un aspirateur web, il devrait avoir un user-agent de la liste ci-dessous (extraite de http://en.wikipedia.org/robots.txt ) dans ses requêtes
User-agent: Mediapartners-Google*
User-agent: IsraBot
User-agent: Orthogaffe
User-agent: UbiCrawler
User-agent: DOC
User-agent: Zao
User-agent: sitecheck.internetseer.com
User-agent: Zealbot
User-agent: MSIECrawler
User-agent: SiteSnagger
User-agent: WebStripper
User-agent: WebCopier
User-agent: Fetch
User-agent: Offline Explorer
User-agent: Teleport
User-agent: TeleportPro
User-agent: WebZIP
User-agent: linko
User-agent: HTTrack
User-agent: Microsoft.URL.Control
User-agent: Xenu
User-agent: larbin
User-agent: libwww
User-agent: ZyBORG
User-agent: Download Ninja
User-agent: wget
User-agent: grub-client
User-agent: k2spider
User-agent: NPBot
User-agent: WebReaper
User-agent: ia_archiver
@JMF: là j'ai un user agent tout classique : "Mozilla/4.0 (compatible;)", et les autres sont bloqués par mod_security.
C'est rien du tout comparé aux années de camp de rééducation qui attendent les social-traîtres dans votre genre… :-D :-D :-D
CENSEUR ! :-D
Dagrouik ne cède pas a la parano et a défaut d'avoir des preuves tangibles, gare à la diffamation et aux sous entendus que tu exprimes dans ton billet.
Dans une autre vie je fus le dev. et l'admin d'un gros portail communautaire, notre machine a souvent subit ce genre "d'attaque" (si tant est que cela en soit une !), c'est rarement agréable je le conçois, mais je pense qu'il faut tacher d'être plus malin en évitant de relater ces hauts faits...ne pas donner de crédit a ce qui n'en mérite pas !
@frederic : j'ai quelques gigas octets de logs apache, une ligne par requête HTTP , je pense que tu sais de quoi je parle: ce sont là des preuves tangibles. Quand j'ai 650 lignes de logs en 30 secondes, avec la même adresse IP qui va lire le billet ( mais ne charge pas le .CSS, ni le javascript, ni les commentaires, ni les images, étrange non ?).
Ca sent bien la bidouille et ce n'est pas un aspirateur de blogs. Et ça se produisait avant l'affaire Princen, en quantité moindre.
Ca peut aussi être un mec qui fait des essais de développement de robot ? A une époque j'avais des logs d'un site et j'avais aussi ce genre de trucs (moins volumineux, mais il y avait moins de pages accessibles).
Le user-agent, ça peut-être soit malveillant, pour passer les filtres, soit le gars utilise des modules de mozilla pour ne pas avoir à tout développer (ça doit exister ?).
Tu as trouvé d'où vient l'ip ?
Rectification très importante : L'Archipel Rouge est à la base un blog collaboratif et non "mon" blog. Avec un tandem de base Dandi-Wildo, l'aigle à deux têtes ...
Si vous avez tant de problèmes que sa,pourquoi changer vous tous pas simplement d'hébergeur ou même de blog ou forum a la place de chialer ici .
que soit disant vous vous faisais pirater ou toutes autres sorte de choses de ce genre la .Moi aussi j'ai déjà eu 69 requête en quelques minutes.Sa a rien que fait
augmenter ma liste du nombre de record d'utilisateur en ligne.
forum libre du net!
http://www.julien.forumparfait.com
@INfo : Tu pourrais écrire en Français stp avant de commencer à donner des leçons, merci...
@Dgrouik : Merci pour ton excellent blog ainsi qu'à toute la blogosphère de gauche qui est très active...le plus dure commence alors ne baissons pas les bras!
@aure: merci de cette précision, surtout quand on voit le contenu de son message, 69 requetes en quelques minutes, mais là je parle de 600 connexions en quelques secondes, destinées à saturer le système d'un coup. Le tien risque de faire des 404 en pagaye, si toute fois tu sait de quoi je parle...
Vu ton com sur Le Monde, enfin, si c'est bien toi...c'est normal !
http://www.lemonde.fr/technologies/...
et vive Nicolas Princen !
Donner des leçons loll Quoi toi aussi tu a eu quelques petites connexions de ((surplus)) sur ton site ??Si ils voudraient ,ton site ne serais plus rien a l'heure qu'il est ..Pose toi la question tu parle d'illégalité ?Je suis sure tu télécharge une ou deux chanson par si par la alors TY.Nieiseuse.(cherche dans le dictionnaire pour la traduction).
@INFo :pov'tache /var/log/apache.log ça te dis quelque chose ? Tu as déjà regardé un httpd.conf d'apache ?rajouté des modules à apache ?
Tu sais faire un netstat -a pour voir 400 connexions IP d'une seul endroit ? Tu sais faire un whois sur une adresse IP pour en connaître le propriétaire? Et mon site a été down comme par hasard peu après qu'on en ait parlé dans la presse ( Libé, le Figaro) ou qu'on le montre sur I>Télé.
Alors que j'ai fait des stress tests en HTTP qui montrent qu'à 60 connexions simultanée en lecture dans la base de données, et a 90 je n'ai pas de soucis. Et ne compare pas avec ton forum: il faudrait que chaque "post" fasse entre 20 et 300 ko pour comparer. C'est autre chose que 3 lignes de Kikoo lol avec un avatar de 4 ko en cadeau. Ici les images font 200 ko voir plus.
Finalement, le fait d'avoir envoyé Juppé à nous cousins Canadiens, ça laisse des traces : ils donnent des leçons sur tout.
@Fanette: tout ça montre que le journalisme d'investigations ça n'existe pas au monde: ils sont devenus les rois du copier/coller et demandent aux mêmes personnes: Versac s'est plein d'avoir subi 3 interview sur le sujet. Moi ce que j'apprécie, c'est que le journaliste d'I>Télé à très bien résumé mon propos.
Pour voir ça, cliquez là.
dagrouik@Regarde je n'ai pas de temps a perdre ici.Surtout pour
s'engueuler avec du monde de ton genre.Alors bonne chance par la suite.
puis mes sympathie pour ton ou vos problèmes .Puis en passant dommage mes je ne suis pas un cousin canadiens.NT...
@INFO: dis moi tu arrive ici avec une adresse IP qui commence par 24.201 et qui appartient à ces gens là :
OrgName: Le Groupe Videotron Ltee
OrgID: VLCA
Address: 300 Viger Est
City: Montreal
StateProv: QC
PostalCode: H2X-3W4
Country: CA
NetRange: 24.200.0.0 - 24.203.255.255
Jusqu'à preuve du contraire, ça se trouve au Canada. Alors à moins que tu ne soit un 3vïl h4x0r, pourquoi mentir ? Tiens regarde, il y' a même la possibilité de faire une géolocalisation et pour ce genre de provider câble de connaître la ville où tu te trouve.
C'est très simple aussi de passer par un truc plus visuel, qui permet de géolocaliser les adresses IP
déjà de un tu penses vraiment avoir trouver mon adresse ??
Fait moi rire lolll Tu te penses intelligent en disant que sa 3vïl h4x0r c'est mon code postal lol Je suis loin de venir de Repentigny .POv'TCH Puis déjà l'adresse IP que tu a c'est loin d'être elle de ma carte réseaux .Puis Tous le monde est capable de faire un whois .Mes tu n'obtiendra pas l'adresse exacte de ma maison .Mes je vais te dire la ville ou je suis MONTREAL c'est loin de ton résultats ...
Sa prend pas nom plus être un expert pour trouver une des adresse de mon FAI
http://www.who.is/
http://www.networksolutions.com/who...
http://www.gandi.net/whois
même pas besoin d'utiliser GOOGLE HEART.surtout dans ton cas dire des conneries de ce genre la j'aurais honte a ta place sérieux.
puis pour finir le pays ne te dit pas nécessairement les origine du
monde.
@info: bon espèce de chieur, ton adresse IP 24.201.101.27 est celle qui sert à poster tes commentaires. Et elle est canadienne , bouffon qui me disait le contraire.
Comme ce n'est pas celle de ta carte réseau selon tes dires, ça ne te gène pas que je la bloque dans mon truc... on verra si tu peux encore poster des commentaires : elle vient d'aller faire un tour dans blacklist. Vas jouer avec les crottes de nez des ours !
Je précise aussi que le Neuneu INFo a essayé péniblement de poster des messages du genre LOL , et persiste dans la connerie :
Il a donc fait connaissance avec IP filter le filtre a @IP de dotclear. Bon alors mon neuneu, là tu peux lire, si tu poste un commentaire il part en SPAM a valider par mes soins. Tout ça par ce que l'adresse IP qui n'est pas celle de ta carte réseau ( tu te souviens) est interdite de commentaires. Si tu persiste dans la connerie, tu pourra finir dans ipfw. C'est le firewall de Freebsd.Ton windows couinera un peu :o)
J'ai bien raison tu habite au Canada et pas très loin de l'endroit indiqué. Je n'ai jamais parlé de donner ton adresse exacte. C'est toi qui est monté sur tes grands chevaux.
ce n'est pas compliquer de trouver un FAI t'est pas le roi du monde puis mon adresse IP qui n'est pas celle de ma carte réseau je te demanderais de l'enlever du grand public se sont mes droit je lès connais .Alors on va finir de jouer dans la recréation enlève l'adresse 24.....! Puis t'inquiet pas , pas besoin de me bloquer pour n'importe quelle raison .Vu que je ne suis pas du spam . c'est même toi qui la dit que tu ma bloquer parce que je viens en contre de toi .Alors je comprend pas avoir une tel mentalité parce que la petite chose n'aime pas se faire contrarier !!!!
Bienvenue dans le monde des grands.Supprime l'adresse puis tu me revois plus
toujours pas enlever???
pour information, le user-agent peut se modifier très facilement. Il est donc probable que le site ait été aspiré massivement. surtout qu'en général, un user-agent trop "simple", c'est justement le signe d'un navigateur robotisé.
@captain biceps, oui ils viennent avec un user agent très simple comme "Mozilla/4.0 (compatible;)" et rien d'autre. Mais c'est aussi le cas de proxy tout merdeux que certaines entreprises ont !
En tout cas l'URL responsable de 50% des problèmes donne désormais une erreur 304, ça calme. Les autres problèmes ne sont plus trop présents.
Est ce que c'est la première fois que tu est toucher par sa ?
"Quand j'ai 650 lignes de logs en 30 secondes, avec la même adresse IP":
Mince, avec l'informatique d'aujourd'hui, on ne peut toujours pas paramétrer un max de réponse/s pour une même adresse IP? Ton blog distribue des choses à lire pas des films ou de la musique ... Techniquement ce n'est pas possible?
On est mal !!!
http://www.dailymotion.com/video/x4...