Attaque DOS ... que faire

[younesnet]

bonsoir

je suis nul la verité par rapport à tout ce qui est sécurisation des site web et tout
bon j'ai un serveur linux ubuntu sur un rps ovh , et c'est la 2éme fois dans une semaine je me suis attaqué par un inconu ( attaque DOS ) , et je me trouve obliger de rénicialiser le serveur à nouveau , et transferez à nouveau le bakup

merci de me dire une solution , ( jai un rps avec 1 RAM et 20 géga disque dur ) , je dois installé un firwall ou bien quoi exacte , et si c'est le cas , comment le faire

merci d'avance

[Djibou_Te@M]

Bon avant toute chose, arrête d'écrires en google traduction, on n'y comprend rien.

Après, d'après le déchiffrage que j'ai pu faire de ton post, au niveau sécurité, je pense qu'il faut que tu vérifie ton site, et pas seulement ton serveur, la faille peut venir de là.

As tu bien codé ton site ? n'as tu pas laissé des formulaires dévérouillés (ce que j'entends par là, c'est as tu sécurisé tes formulaires ) ?

Une attaque peut venir de tellement d'endroits que c'est vraiment cercher une aiguille dans une botte de foin...

As tu changé tes accès FTP et Base de Données ???

N'as tu rien remarqué au niveau date de modif d'un fichier de ton site qui pourrait être suspect ?

Savoir ce que tu as comme serveur, on s'en fiche un peu...

Est ce que tu sais ce qu'et une attaque DOS ou tu balances ça parce que tu en a entendu parler dans un couloir autour d'un café ? D'où tiens tu cette information ? As tu fais des recherches pour connaitre les failles qui rendent possibles des attaques "DOS" ?

Commences par nous donner l'adresse de ton site ...

[techron]

bonsoir
je dois installé un firwall ou bien quoi exacte , et si c'est le cas , comment le faire

Ce firewall va aider: http://www.configserver.com/cp/csf.html

Port Flooding Detection - Per IP, per Port connection flooding detection and mitigation to help block DOS attacks

C'est gratuit.

[CodingPapa]

Pour moi une attaque de type DOS n'a aucun rapport avec le site ou une quelconque faille de sécurité dans le code

Par contre, comme le dit techron, un Firewall ou un IDS peuvent te venir en aide en limitant le nombre de paquets par secondes transmis jusqu'au serveur applicatif

Par contre, la question de Djibou_Te@M était pertinente: comment as tu identifié le type d'attaque ?

[HawkEye]

Pour moi une attaque de type DOS n'a aucun rapport avec le site ou une quelconque faille de sécurité dans le code

Tout à fait d'accord.

S'il s'agit d'une vraie DDoS: http://www.blockdos.net

[ricosound]

Bonsoir.

Ayant déjà subit une attaque DOS (attention pas DDos) je m'en suis sorti facilement avec un examen des logs suivi d'un contrôle via htaccess par le biais de "crawlprotect" .

Dans le cas d'une attaque DOS, un simple bannissement d'IP suffit.

Si l'IP change régulièrement, renouveler la valeur d'après la lecture des logs.

Si une vraie DDOS, je ne fait plus le poids, mais il y en a ici qui ont subit le problème, et qui doivent pouvoir t'aider.

Cordialement, Éric.

@CodingPapa : pour identifier une DOS, tu peux comparer la fréquence et la quantité d'accès d'une navigation normale (humaine) avec celle (accélérée) d'un bot.

[techron]

Pour moi une attaque de type DOS n'a aucun rapport avec le site ou une quelconque faille de sécurité dans le code

Tout à fait d'accord.

S'il s'agit d'une vraie DDoS: http://www.blockdos.net

Vous êtes client ? $299/mois ? http://www.blockdos.net/ddosprotection_plans.html

[techron]

Par contre, comme le dit techron, un Firewall ou un IDS peuvent te venir en aide en limitant le nombre de paquets par secondes transmis jusqu'au serveur applicatif

Un sync flood : http://en.wikipedia.org/wiki/SYN_flood

Un exemple:

Code: Tout sélectionner

Time:        Mon Feb 21 06:28:58 2011 +0100
IP:          203.81.92.160 (MM/Myanmar/-)
Connections: 493
Blocked:     Permanent Block

Connections:
tcp: 203.81.92.160:48951 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:48951 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:26164 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:35144 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:57140 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:5684 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:3895 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:3895 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:64567 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:13879 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:13879 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:13879 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:13879 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:65332 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:65332 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
tcp: 203.81.92.160:15671 -> xxx.xx.xxx.xxx:80 (SYN_RECV)
.
.
.

Code: Tout sélectionner

Feb 21 04:56:16 server lfd[5754]: (CT) IP 203.81.92.1 (MM/Myanmar/-) found to have 364 connections - *Blocked in csf* [CT_LIMIT]
Feb 21 06:28:58 server lfd[32404]: (CT) IP 203.81.92.160 (MM/Myanmar/-) found to have 493 connections - *Blocked in csf* [CT_LIMIT]
Feb 22 03:35:10 server lfd[17747]: (CT) IP 203.81.64.24 (MM/Myanmar/-) found to have 321 connections - *Blocked in csf* [CT_LIMIT]
Feb 22 03:37:40 server lfd[29731]: (CT) IP 203.81.64.59 (MM/Myanmar/-) found to have 304 connections - *Blocked in csf* [CT_LIMIT]
Feb 22 03:40:10 server lfd[11765]: (CT) IP 203.81.64.63 (MM/Myanmar/-) found to have 305 connections - *Blocked in csf* [CT_LIMIT]

Bloqué et banni automatiquement et de manière permanente à la cinquième (nombre configurable) tentative par le firewall mentionné plus haut.
.

[HawkEye]

Pour moi une attaque de type DOS n'a aucun rapport avec le site ou une quelconque faille de sécurité dans le code

Tout à fait d'accord.

S'il s'agit d'une vraie DDoS: http://www.blockdos.net

Vous êtes client ? $299/mois ? http://www.blockdos.net/ddosprotection_plans.html

300 dols c'est l'offre de base.
Je suis "un petit peu" au dessus

[younesnet]

salut
c'est mon hebergeur OVH qui ma envoyé un message
et il m'ont confirmé que ça s'agit d'une attaque DOS ...

et je n'ai pas un site web
plutot un serveur de transfert de donnés , un serveur programmé en distribution des infos ver d'autre ordinateurs 24/7 , comme le taux de changes , les horaires ...

j'ai un systéme server linux ( version ubuntu ) , alors tout se passe par des commandes