Est ce une attaque : Plus de 100 connexions simultanées à partir d'une IP ?

[tomlelab]

Bonjour
voilà plusieurs fois que ce cas se présente sur un de mes sites:
- Il y a plus de 100 connexions au serveur de la bdd
- en regardant les process sur le serveur bdd, je vois une centaine de connexions au serveur, mais avec "NULL" dans la colonne "Base de données".
- en regardant sur la page server-status qui me donne la liste des requêtes de pages et les ip, je constate qu'une IP est à l'origine de l'appel d'une même page, plus de 100 fois !
- Comme c'est une page où il faut être loggué, j'arrive à identifier le membre.
- Après avoir banni son IP, je le contacte pour lui demander de scanner son pc, de vérifier qu'il n'a pas un virus ou un trojan.
- Il me confirme qu'il n'a trouvé aucun virus en passant un scan en ligne à jour et un détecteur de malwares.

Mais à chaque fois qu'il revient et que son ip a changé, ça recommence !
Cela ressemble-t-il à une attaque d'après vous ? (mais je ne pense pas que ce soit le membre qui soit à l'origine de cela)

Merci

 

[Julia41]

Il me semble que j'avais détecté ce soucis sur un de mes navigateurs (une version beta de Firefox ?) qui rechargeait en masse la page (genre des "micro F5 sur les images/favicon/js et autres fichiers").

Est-ce que tu peux lui demander de tester avec un autre navigateur.
Es-tu sûr qu'il n'a pas un plugin firefox bidon qui ferait des reloads en masse.

Installe le mod evasive d'Apache ça le dégagera en auto.
Ton site ne devrait pas monter auto en connexion de base de données pour un seul utilisateur.

 

[anemone-clown]

Pour information, j'ai eu des problèmes avec une version récente de FireFox 3.6.9 (signature de compil ? me souviens plus). Mais FF a du se rendre compte d'un problème car une mise à jour de sécurité était disponible le lendemain (compil 4B...quelque chose).

Vérifie dans ton htaccess (sous Apache si tu as déjà des filtres à ce niveau) si tu ne testes pas une séquence "008" (c'est pas un super 007... hein! ) qui est la signature d'un robot-scan assez chiant. Manque de chance, cette version de FF renvoyait 008 dans sa signature et se faisait bloquer. Le problème a eu principalement lieu les 8 et 9 septembre (j'en avais parlé sur le facebook de mon www).

 

[vitalizo]

Tiens quand j'essaye d'aller au post, ALERTE DE SECURITE

"Le site Web à l'adresse forum.webrankinfo.com contient des éléments provenant du site --3w.boursematch.com "

 

[finstreet]

Tiens quand j'essaye d'aller au post, ALERTE DE SECURITE

"Le site Web à l'adresse forum.webrankinfo.com contient des éléments provenant du site --3w.boursematch.com "

Idem :

Avertissement : Visiter ce site peut être préjudiciable à votre ordinateur !
Le site Web à l'adresse forum.webrankinfo.com contient des éléments provenant du site -http://www.boursematch.com qui semble héberger des logiciels malveillants. Ces derniers peuvent nuire à votre ordinateur ou agir à votre insu. Le simple fait de visiter un site hébergeant ce type de logiciels peut infecter votre ordinateur.
Pour obtenir des informations détaillées sur les problèmes relatifs à ces éléments, consultez la page Page de diagnostic de navigation sécurisée de Google pour -http://www.boursematch.com.
En savoir plus sur la manière de se protéger des logiciels malveillants en ligne

 

[finstreet]

C'est l'avatar de tom

 

[tomlelab]

Hum, pas glop ça, mais pas sûr que ce soit lié. L'avertissement semble venir d'un bout de code de mon logicile de pub openx qui utilise un iframe.
Bon en tout cas merci pour vos pistes, je vais déjà essayer de régler ce problème avec google avant que ça ne fasse fuire tous mes visiteurs...

 

[finstreet]

Non mais c pas une piste. Là pour l'instant vire ton avatar.

 

[tomlelab]

c'est fait, et toi il faudrait que tu édites ton post plus haut avec le lien vers BM !

 

[finstreet]

c'est fait, et toi il faudrait que tu édites ton post plus haut avec le lien vers BM !

Pourquoi ?

 

[tomlelab]

Autant pour moi, je voyais encore l'avertissement et pensais que c'était lié avec les liens du message vers bm. Je n'avais pas compris que mon avatar était sourcé sur bm.