Vous êtes sous attaque Ddos ?





Parlons-en au cas ou nous ne serions pas déjà intervenu :)

De vilaines IP rôdent autour de votre site, et le saturent, la question, c'est 1 ou plusieurs ? (le remède ne sera pas le même)

Depuis votre cPanel, regardez la section Mesures, puis Visiteurs, identifiez si c'est une seule IP ou une URL spécifique autre que la page accueil, essayez d'analyser vos logs bruts aussi dans cpanel si besoin.... regardez la colonne 'user agent' pour savoir si ce serait un bot indésirable... (Si vous pensez que oui, informez-nous afin d'étudier une possibilité de blocage radical au niveau du serveur) 

On a déjà vu des bots bugguer, vérifiez au cas ou si ce serait une IP google avec ca : https://apps.db.ripe.net/db-web-ui/#/query
Attaque DDos niveau 7


Le premier objectif est d'atténuer les attaques pour les faire abandonner si possible...

Avant tout, soyez sûr que votre site en 100% SSL, car cela le protège en partie de certaines attaques web :  https://hosting.yoorshop.fr/knowledgebase/1551/Comment-installer-un-certificat-SSL.html

Solution 1 :
Bloquez la un moment par cPanel : 'Bloqueur d'adresse IP', plusieurs heures après venez la débloquer (que ce soit une IP google ou non)

Pour les attaques sur formulaire de contact ou inscription ou espace client, c'est du 'force brute', inutile de lutter contre les IPs qui changent sans arrêt, il faut mettre en place un protection par captcha : ReCapatcha


Solution 2 :
Si une multitude d'IP s'attaquent à votre site, pas la peine de courir après chaque, cela s'appelle une attaque de niveau 7, et le seul remède c'est le bouclier à plusieurs niveaux. Sachez qu'une partie est déjà filtré par notre pare-feu avant le serveur, et aussi par l'anti-ddos de notre fournisseur. Pour mettre un terme à l'attaque, si besoin, il faut faire des ajustements par Nginx au niveau de votre compte

Ce bouclier est une config spéciale YOORshop que vous allez pouvoir mettre en place en quelques clics, et son but est de restreindre l'accès à votre site à seulement quelques IP durant quelques minutes, cela va faire baisser la tension, et les attaquants (des robots bien évidemment) vont abandonner après quelques minutes seulement car ils n'arrivent plus à envoyer une requête valide... Il n'y a pas d'autres solutions pour faire cesser ce genre d'attaques... Nous devons faire comprendre à l'attaquant que le site n'est plus vulnérable.

Depuis votre cPanel, voyez en bas la section Nginx, et le plugin Nginx-Manager
Choisissez votre domaine puis cliquez 'Configure'

Activez les 2 premiers en même temps :

1. Test cookie
Les bots n'acceptent pas les cookies en général, ce filtre ne laissera pas passer si le cookie n'est pas accepté.
Tous les bots populaires comme google et autre sont exclus du test cookie
Voici l'option dans Nginx pour cette solution temporaire ou permanente, voir 'Application settings', voyez la ligne : test_cookie

Vérifiez si il n'y a pas d'effets indésirable, dans lequel cas, vous pouvez le désactiver facilement depuis votre cPanel. Il est tout à fait normal de voir l'ajout dans l'URL : 'bot_test=1'. Le code de redirection utilisée est 307.

(NB : Si un robot légitime est bloqué en raison de son rôle dans votre activité, nous pouvons l'autoriser sur demande, il nous faut son nom 'user agent' ou l'IP si statique. Si un client légitime est bloqué car il n'accepte pas les cookies, il pourra résoudre tout seul avec le message : https://www.hostingfilters.com/cookie-test.html )

2. Pour une action modérée à moyen terme, voir 'Application server', choisir le profil Nginx : 'YOORshop ddos attack repeated'. Ceci va couper les connexions à partir d'un certain seuil de nombre de connexions à votre site web. L'attaquant va se rendre compte de ceci au bout d'un moment, ses attaques n'atteindront pas leur objectif qui est double : mettre votre site hors ligne pendant plusieurs heures, et de manière sous-jacente nuire au serveur qui abritent aussi d'autres clients... (Pour rappel, le mode normal est le profil YOORshop Defaut). Utilisez Webservice currently unavailable Error 503

3.Si cela ne suffit pas, passez au template Nginx : YOORshop ddos attack. Vous pouvez aussi activer la fonction dos_mitigate, elle est un peu plus stricte et n'autorise par les requêtes HEAD au cas ou ce serait le cas d'attaque par ce type de requêtes.

Observez ce qui se passe après au moins 15 minutes après chacune de vos actions, ceci va prendre plus ou moins de temps de faire stopper l'attaque. Notez que pendant la mitigation, il est normal de voir 'Webservice currently unavailable Error 503'

Si les mesures 1 et 2 suffisent, vous pouvez en théorie laisser cette configuration permanente pour test_cookie. Pour le profil 'YOORshop ddos attack repeated', si vous ne voyez pas de dommages en visitant sur votre site web/ou au niveau moyen de vos commandes, vous pouvez le laisser définitivement. Si le profil 'YOORshop ddos attack repeated' pose problème à votre site (en dehors du temps d'attaques, ou il est certain que votre site peut être difficilement accessible), soit il faut mettre une défense plus forte (nous contacter), soit patienter plusieurs jours

Si les mesures 1,2,3 ne suffisent pas, nous contacter.

Consultez aussi

Protection obligatoire WordPress xmlrpc.php

Nous protégeons déjà nativement/par défaut tous les sites wordpress des serveurs... Toutefois,...

Protection page par htaccess

Dans votre cPanel, allez à la section Fichiers puis Confidentialité du répertoire.Pour sécuriser...

Injections de fichier PHP : file uploads ON-OFF

Cet article a vocation d'expliquer le rôle controversé et nécessaire de la variable du php.ini...

Désactiver les sécurités Nginx

Vous pouvez désactiver toutes nos diverses sécurités Nginx temporairement, ou définitivement :...

Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus...

Besoin d'autre suggestions