Auteur Sujet: Enquête sur une possible attaque vers TVradioZap  (Lu 5229 fois)

0 Membres et 1 Invité sur ce sujet

F6FLT

  • Abonné Orange Fibre
  • *
  • Messages: 317
  • 44
    • TVradioZap
Enquête sur une possible attaque vers TVradioZap
« Réponse #24 le: 27 juin 2024 à 17:18:36 »
...
Comme je l'ai déjà dit, tu dis ici, en public, que ton site est vulnérable dès qu'il y a du trafic. Forcément, des malins vont amplifier le problème
...

Quels "malins" ? Facebook ? Amazon ? Parce que les seuls qui posent problème actuellement, ce sont eux.
Tu n'as encore rien lu de ce qui était écrit. Ou alors tu ne crois plus à facebook que tu nous disais être à l'origine du flooding en IPV6 ?!

Le surplus de trafic est celui appelant des adresses inexistantes formées comme dans l'encart plus haut, et uniquement celles-là.
Tout le surplus de trafic concerne uniquement ces requêtes, avec répétition de séquences, toutes les mêmes à de petites variations près.

On n'est absolument pas dans le cas de "malins" mais de robots bornés qui, pour une raison que j'ignore, utilisent ces adresses et tous, utilisent les mêmes comme s'ils relayaient une source initiale.
Pourquoi ces requêtes erronées ? Pourquoi toutes les mêmes quelque soit le serveur qui fait les requêtes, ce sont les questions intelligentes à se poser, par rapport à un problème précis

Et en attendant j'ai bien fait de bloquer une par une ces IP, car le trafic a été considérablement réduit. Un peu de pragmatisme ! Tes poncifs sur le sujet n'apportent rien.

Steph

  • Abonné K-Net
  • *
  • Messages: 8 125
  • La Balme de Sillingy 74
    • Uptime K-net
Enquête sur une possible attaque vers TVradioZap
« Réponse #25 le: 27 juin 2024 à 18:07:37 »
Juste, c'est quoi le modele économique de un hébergement gratuit ?  :o
De faire essayer et de vendre du payant ensuite.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 617
  • Alpes Maritimes (06)
Enquête sur une possible attaque vers TVradioZap
« Réponse #26 le: 27 juin 2024 à 18:13:12 »
as tu essayé de regarder du côté des instructions dans le robots.txt ? ça ne coûte pas grand chose de le tester au regard d'ajouter des IPs 1 par 1 dans le .htaccess.

En cherchant rapidement sur google, il y a des propositions..

https://developers.facebook.com/docs/sharing/bot/

Je te laisse chercher pour les autres robots ;)

xp25

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 6 311

F6FLT

  • Abonné Orange Fibre
  • *
  • Messages: 317
  • 44
    • TVradioZap
Enquête sur une possible attaque vers TVradioZap
« Réponse #28 le: 27 juin 2024 à 18:39:48 »
Juste, c'est quoi le modele économique de un hébergement gratuit ?  :o

Il faut le demander à celui qui le propose.

Je lui fais confiance. S'il propose un hébergement gratuit, c'est qu'il y trouve son compte. Donc je suis content de répondre positivement à sa proposition  :D.
Par contre si la réalité n'est pas à la hauteur de la promesse, possible qu'il m'entende, et ce sera à la hauteur de mon allergie aux margoulins.

F6FLT

  • Abonné Orange Fibre
  • *
  • Messages: 317
  • 44
    • TVradioZap
Enquête sur une possible attaque vers TVradioZap
« Réponse #29 le: 27 juin 2024 à 19:22:52 »
@ buddy et XP25

Vos liens sont très instructifs, et expliqueraient le contexte des requêtes depuis les adresses IPV6, notamment celles avec les références à facebook. Les adresses IPV6 seraient bien manipulées par des indélicats...

Les questions qu'il me reste, c'est d'une part :
- l'étrangeté des requêtes, avec les séquences répétées, qui ne peuvent recevoir que la page d'accueil envoyée dans la plupart des cas d'adresse erronée, plutôt qu'une erreur 404.
- la reprise de ces mêmes requêtes par d'autres sites depuis des adresses IPV4, notamment Amazon (4 IP), OVH France et Québec (5 IP), semrush.com (3 IP), et quelques autres.

Pour compléter le dossier :
1) Au lien facebook fourni par les bots http://www.facebook.com/externalhit_uatext.php, il y a une adresse de contact legal@facebook.com que j'ai utilisée pour leur communiquer le problème. Aucune réponse à ce jour.
2) Hier j'ai communiqué à Alwaysdata un point sur l’origine du problème et les actions que j'ai effectuées pour le résoudre. Je viens de voir que ce matin j'ai reçu un "Merci" de Nicolas G, j'ose espérer que cela termine l'incident, auquel cas je les en remercie.
En tout cas ces bots m'agacent et je compte continuer à les bloquer. Si qqn était au courant d'une limitation du nombre d'IP dans la liste des deny du .htaccess, je suis preneur, merci. Pour le moment cette liste est encore loin d'avoir la taille de celles des TV et Radios de TVradioZap, donc je dois pouvoir gérer.  :)

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 617
  • Alpes Maritimes (06)
Enquête sur une possible attaque vers TVradioZap
« Réponse #30 le: 28 juin 2024 à 11:41:22 »
2) Hier j'ai communiqué à Alwaysdata un point sur l’origine du problème et les actions que j'ai effectuées pour le résoudre. Je viens de voir que ce matin j'ai reçu un "Merci" de Nicolas G, j'ose espérer que cela termine l'incident, auquel cas je les en remercie.
En tout cas ces bots m'agacent et je compte continuer à les bloquer. Si qqn était au courant d'une limitation du nombre d'IP dans la liste des deny du .htaccess, je suis preneur, merci. Pour le moment cette liste est encore loin d'avoir la taille de celles des TV et Radios de TVradioZap, donc je dois pouvoir gérer.  :)
Je ne crois pas que tu aies une limite, par contre, ça va ralentir/ demander plus de ressources au fur et à mesure ...
Je te conseille vivement de créer le fichier robots.txt quand même ... limitant/bloquant les robots de facebook et autres.
(il a l'air vide)
http://tvradiozap.eu/robots.txt

Son impact ne sera visible qu'après plusieurs heures/jours, le temps que les robots le voit ..

F6FLT

  • Abonné Orange Fibre
  • *
  • Messages: 317
  • 44
    • TVradioZap
Enquête sur une possible attaque vers TVradioZap
« Réponse #31 le: 30 juin 2024 à 15:25:45 »
Bon, l'histoire continue. J'ai testé le fichier robots.txt. Il n'est pas respecté par les principales adresses qui font du flooding, notamment facebook, semrush, et amazon. J'ai eu le malheur de vouloir le vérifier hier avec des adresses d'Amazon. Ca confirmerait que ces adresses sont détournées d'une façon ou d'une autre mais n'empêche, elles appartiennent bien à ces services.

J'étais rendu à 260 adresses facebook bloquées. Finalement j'ai bloqué toute la plage, un seule ligne suffit dans le .htaccess, ce sera moins lourd pour Apache et Alwaysdata.
Les adresses des ripoux ou utilisés par des ripoux sont les suivantes :
#facebook
deny from 2a03:2880::/32

#fbsv.net (Facebook IPV4, fwdproxy-cco-001.fbsv.net)
deny from 69.171.230
deny from 173.252.83

#Amazon
deny from 3.224.220.101
deny from 23.22.35.162
deny from 52.70.240.171

#semrush.com
deny from 85.208.96
deny from 185.191.171
deny from 185.170.167.18

On se demande comment c'est possible de nos jours. Prenons par exemple l'adresse 3.224.220.101 chez Amazon. Elle est répertoriée comme étant "100% abuse" : https://www.abuseipdb.com/check/3.224.220.101. Il y a 181 pages de listes de sites de webmasters qui ont remonté le problème, mais elle est toujours vivante ! Leurs deux autres adresses, pareil. Les 3 groupes d'adresses chez Semrush, pareil. Et à côté de ça tu as (avais) l'Hadopi sur le dos si tu avais le malheur de télécharger "Le Gorille" de Brassens, de 1952.

La protection sur Internet, c'est celle pour que les gros groupes soient à leur aise, et celle du citoyen, seulement pour lui éviter d'être perturbé quand il fait ses achats, ce ne serait pas bon pour le business des premiers.




buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 617
  • Alpes Maritimes (06)
Enquête sur une possible attaque vers TVradioZap
« Réponse #32 le: 30 juin 2024 à 15:29:49 »
Bon, l'histoire continue. J'ai testé le fichier robots.txt. Il n'est pas respecté par les principales adresses qui font du flooding, notamment facebook, semrush, et amazon.
Comme j'ai dit, il faut parfois plusieurs jours avant qu'ils ne voient et interpretent et respectent le robots.txt ... tu ne verras son potentiel effet qu'en milieu de semaine prochaine je pense. (bon après, il ne mange pas de pain... vaut mieux l'avoir que rien.)

F6FLT

  • Abonné Orange Fibre
  • *
  • Messages: 317
  • 44
    • TVradioZap
Enquête sur une possible attaque vers TVradioZap
« Réponse #33 le: 30 juin 2024 à 15:33:20 »
Comme j'ai dit, il faut parfois plusieurs jours avant qu'ils ne voient et interpretent et respectent le robots.txt ... tu ne verras son potentiel effet qu'en milieu de semaine prochaine je pense. (bon après, il ne mange pas de pain... vaut mieux l'avoir que rien.)

Les robots scrawlent tout (en fait n'importe quoi car les adresses ne correspondent à rien d'existant sur le site) avant de charger le fichier robots.txt, plutôt que de le lire systématiquement avant d'engager leurs nuisances.
Là je suis coincé. Si je les débloque j'aurai des tonnes de requêtes sans garantie que le robots.txt sera respecté, et je risque la coupure du compte par Alwaysdata. Et si je continue à les bloquer, ils ne peuvent plus lire le robots.txt. Et je crains qu'un blocage sélectif suivant la requête soit lourd en traitement.

Il semble qu'Apache renvoie une erreur 403 quand l'IP est bloquée. Si je pouvais avoir 404, peut-être que le robot cesserait ses intrusions avec ces adresses inexistantes ?




buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 617
  • Alpes Maritimes (06)
Enquête sur une possible attaque vers TVradioZap
« Réponse #34 le: 30 juin 2024 à 15:37:52 »
ce que je voulais dire c'est qu'il ne lise pas le robots.txt à chaque fois, mais de temps en temps (1 fois par 24 voire beaucoup plus ...)
Si la dernière fois qu'ils l'ont chargé
-> inexistant
-> pas de lignes les concernant

ils vont continuer à crawler le site comme avant et tenterons quelques temps plus tard de voir si le fichier existe, puis de prendre en compte les instructions et etc ...

Laisse le au moins pour les autres robots ;)
Si ça se trouve, tu les as entièrement bloqué via l'ip avant qu'ils naient eu le temps de charger ton robots.txt (mais c'est une solution comme une autre hein, tu peux laisser le filtre par ip).

F6FLT

  • Abonné Orange Fibre
  • *
  • Messages: 317
  • 44
    • TVradioZap
Enquête sur une possible attaque vers TVradioZap
« Réponse #35 le: 30 juin 2024 à 15:44:17 »
ce que je voulais dire c'est qu'il ne lise pas le robots.txt à chaque fois, mais de temps en temps (1 fois par 24 voire beaucoup plus ...)
Si la dernière fois qu'ils l'ont chargé
-> inexistant
-> pas de lignes les concernant

ils vont continuer à crawler le site comme avant et tenterons quelques temps plus tard de voir si le fichier existe, puis de prendre en compte les instructions et etc ...

Laisse le au moins pour les autres robots ;)
Si ça se trouve, tu les as entièrement bloqué via l'ip avant qu'ils naient eu le temps de charger ton robots.txt (mais c'est une solution comme une autre hein, tu peux laisser le filtre par ip).

Je n'ai laissé que les principaux robots de référencement. Je ne vois pas l'intérêt que j'aurais avec facebook, semrush ou amazon, d'autant plus que manifestement, ils ne cherchent pas les adresses valides. Pas une fois je n'ai vu d'eux la moindre tentative d'accéder à une bonne adresse.

Tu postes si vite que ta réponse et l'ajout de ma question sur l'erreur 403/404 dans mon post précédent se sont croisés.  :)