L'espace de PabOu

Un petit DDoS…

by on May.14, 2009, under Boulot, Informatique, Linux, Quelques liens

Un de nos clients, dont je tairai le nom, a essuyé une attaque de type DDoS sur son site web en serveur dédié ce soir. Nos sondes ont sonné et je suis directement intervenu. La charge du serveur était au dessus de 50 et apache ne répondait plus. Mais c'était un drôle de DDoS. Visiblement, quelqu'un est allé inscrire son site sur tous les moteurs de recherche qu'il connaissait pour réindexer celui-ci. Alors, 15 moteurs de recherche en même temps, dont certains peu scrupuleux (VoilaBOT, quelle crasse ! il est interdit dans le robot.txt et pourtant il l'ignore !), ca fait des dégâts sur un simple serveur apache sans cluster.

Tout en analysant les logs, je suis tombé sur deux UserAgent un peu différents que les autres (comprendre PAS des robots d'indexation), c'est à dire FunWebProducts et DTS Agent, qui participaient au DDoS (peut-être involontairement mais bon)… Voici des liens sur des informations sur ces spywares vicelards + technique pour les enlever :

Quelques adresses IP avec UserAgent de bots, de spywares ou simplement suspicieux :

  • 74.6.8.95 "Mozilla/5.0 (compatible; Yahoo! Slurp/3.0; http://help.yahoo.com/help/us/ysearch/slurp)"
  • 193.252.149.15 "Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) VoilaBot BETA 1.2 ([email protected])"
  • 216.129.119.13 "Mozilla/5.0 (Twiceler-0.9 http://www.cuil.com/twiceler/robot.html)"
  • 84.55.184.91 "WikioFeedBot 1.0 (http://www.wikio.com; 1 subscribers)"123.125.64.38 "Baiduspider+(+http://www.baidu.com/search/spider.htm)"
  • 66.249.66.11 "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
  • 66.112.55.170 "Mozilla/5.0 (compatible; MJ12bot/v1.2.4; http://www.majestic12.co.uk/bot.php?+)"
  • 72.14.199.85 "Feedfetcher-Google; (+http://www.google.com/feedfetcher.html; 1 subscribers; feed-id=5656715950013085038)"
  • 213.136.125.86 "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent"
  • 196.12.233.36 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts)"
  • 64.74.98.14 "Jakarta Commons-HttpClient/3.1"
  • 72.44.45.66 "Mozilla/5.0 (compatible; TopBlogsInfo/2.0; [email protected])"
  • 193.47.80.51 "Mozilla/5.0 (compatible; Exabot/3.0; +http://www.exabot.com/go/robot)"
  • 5.55.209.172 "msnbot/1.1 (+http://search.msn.com/msnbot.htm)"
  • 65.55.106.194 "msnbot/2.0b (+http://search.msn.com/msnbot.htm)"
  • 5.55.230.232 "msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)"
  • 6.235.124.17 "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; +http://about.ask.com/en/docs/about/webmasters.shtml)"
Si tout ça quasi en même temps c'est pas une tentative de DDoS… Et bien mon client n'a vraiment pas eu de chance :)


Leave a Reply

You must be logged in to post a comment.

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for? Drop a comment on a post or contact us so we can take care of it!

Blogroll

A few highly recommended websites...