OVH Community, votre nouvel espace communautaire.

DDOS sur Kimsufi et trafic illicite non aspiré !


Cyborg51
14/03/2015, 14h35
Bonjour,

depuis 3 jours aujourd'hui, mon KS3 subit des attaques DDOS qui ne sont pas filtrées par OVH, sans doute parce que le VAC ne se déclenche pas car les requêtes sont considérées comme normales, or ce n'est pas le cas.

Ci-contre, le graphique qui affiche les pics de bande passante depuis le 12 mars 21h00 : http://puu.sh/gzQJs/f5e8370e83.png

Au vue des heures (rien la nuit ni très tôt le matin), je pense pertinemment que c'est ciblé. Pour info, le site qui est visé est une site communautaire en pleine expansion sur un jeu PC récent...

Le serveur tourne sous Nginx + PHP5 FPM et le site sous Wordpress (mis à jour avec ses plugins et sécurisé). Habituellement le trafic tourne entre 2500 et 3500 visites journalières.

J'ai remplacé le contenu du répertoire du site par une page de maintenance avec une redirection 503 pour éviter que mon SEO soit pénalisé, donc plus de Wordpress sur le serveur. On peut donc en déduire que ce n'est pas un fichier vulnérable qui est exploité mais bien la machine en elle même qui est attaquée.

Le fichier de log a pris cher, près de 200 Mo (550 300 lignes), et j'ai récupéré ces IP qui ont causées beaucoup d'erreur :

Code:
2097 49.4.178.68
2116 91.75.241.158
2132 112.104.202.5
2392 117.135.252.84
3169 202.106.182.248
3204 103.27.24.113
3420 104.236.91.113
3907 117.42.74.138
3994 202.100.169.230
3995 103.27.24.114
4324 101.254.210.167
4345 202.100.169.229
4484 202.119.25.69
4966 221.130.23.9
4983 221.130.23.8
5021 221.130.23.7
5105 221.130.23.6
5166 221.130.23.10
5630 203.192.10.66
6238 218.240.156.82
7015 191.189.141.176
7667 183.207.227.134
7742 202.119.25.72
8485 221.180.130.131
8816 202.119.25.73
8818 202.119.25.227
8851 202.119.25.228
8861 202.119.25.71
8902 202.119.25.70
9005 111.161.126.90
9035 46.99.131.71
9812 120.202.249.196
10411 142.4.213.112
10599 221.180.130.132
14031 37.239.46.74
19223 202.55.23.113
22105 213.174.124.186
26542 121.59.17.43
27134 195.57.148.30
Je les ai banni avec iptables, mais sans grande conviction, la preuve, l'attaque continue depuis...

J'ai plusieurs questions à présent :

1. Il y a t-il des réglages à faire pour que Nginx et FPM tiennent la charge ?
2. Devrais-je envisager de m'installer sur une autre machine plus performante ?
3. Est-ce que la protection DDOS est plus performante si je prends une machine chez OVH au lieu de Kimsufi ?
4. Est-ce qu'utiliser le CDN OVH pourrait m'aider à contrer ce problème ?

J'ai déjà contacté le support Kimsufi et OVH mais toujours pas de réponse. Je suis conscient que je ne suis pas le seul, j'espère cependant que j'y trouverai aussi de l'aide !

En attendant, merci à ceux qui prendront le temps de m'aider !

Cordialement,
Cyborg