Bloquer le spam sur mes sites

nloulou · 19 Mars 2010

Bonjour,

J'ai un serveur virtuel chez Celeonet et j'ai quelques problèmes avec des attaques sur différent sites.

Jusqu'à il y a 2 mois, il y avait peut-être déjà des attaques mais de faibles amplitudes, depuis les attaques sont plus virulentes puisqu'elles surchargent tellement le serveur que l'accès aux pages est impossible pendant plusieurs minutes.

Au départ le problème est arrivé par un blog sous Dotclear2. Une IP toujours différente arrivait par une requête Google et accédait à plus de 400 pages en moins de 2 minutes. J'ai réussi à bloquer l'accès aux pages avec un petit script PHP car j'ai remarqué que l'user-agent était toujours le même en l'occurrence "Mozilla/4.0;"

Maintenant le problème est sur un autre site. Une IP toujours différente demande plus de 300 fois de suite en moins d'une minute l'accès à un petit fichier ICO qui est utilisé dans une carte GoogleMaps affichée sur le site.

Est-il possible de bloquer une IP qui demande plusieurs fois de suite le même fichier ????

Comme l'IP est toujours différente, pas question de bloquer l'accès avec des IPtables

anemone-clown · 19 Mars 2010

Bonjur,

ce n'est pas du spam que tu décris mais plutôt des tentatives d'intrusions par surcharge du système (attaques DOS, deny of service). Ensuite, autre solution, tu es peut-être victime d'aspirateurs de sites comme HTTrack (assez célèbre, mais il y en a d'autres).

Si tu veux bloquer les aspirateurs (celui cité, mais il y en a une ribambelle d'autres!), voici un bout de code pour fichier htaccess :

Code:

RewriteCond %{HTTP_USER_AGENT} HTTrack
RewriteRule .*$ http://www.[unnomdedomaineàtoi].ext/erreur.html [R,L]

Il faut adapter.

nloulou · 22 Mars 2010

Ok pour les attaques DOS, sauf que ce ne sont pas des aspirateurs....

Le User-Agent correspond plutôt à un navigateur classique ...

"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.4; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"

Je me demande si pour les accès aux fichiers icônes des cartes GoogleMaps il ne s'agit pas plutôt d'un bug.

Je m'explique, un visiteur arrive sur le site visite 2 ou 3 pages puis arrive sur une page avec une carte Google Maps.
Les fichiers icones sont chargés une première fois puis après, il y a près de 400 accès aux fichiers en moins de 10 secondes. Heureusement que les fichiers sont en cache et le serveur renvoi un code 304.

Sauf que bien sûr le cas de figure décrit ne se passe que pour un visiteur sur 500 ....

cr500 · 27 Avril 2010

encore une fois , firewall applicatif detect attaques et robot