Vous êtes sous attaque Ddos ?

1

Attaque DDos niveau 7


Attaque dos ?

Parlons-en au cas ou nous ne serions pas déjà intervenu :)

De vilaines IP rôdent autour de votre site, et le saturent, la question, c'est 1 ou plusieurs ? (le remède ne sera pas le même)

Depuis votre cPanel, regardez la section 'Mesures', puis icone 'Visiteurs', identifiez si c'est une seule IP ou une URL spécifique autre que la page accueil. Pour plus de confort, vous pouvez télécharger les fichiers d'accès des visiteurs par l'icone 'Accès bruts', regardez la colonne 'user agent' pour savoir si ce serait un bot indésirable... (Si vous pensez que oui, informez-nous afin d'étudier une possibilité de blocage radical au niveau du serveur) 

On a déjà vu des bots bugguer, vérifiez au cas ou si ce serait une IP google avec ca : https://apps.db.ripe.net/db-web-ui/#/query

Le premier objectif est d'atténuer les attaques pour les faire abandonner si possible... Certaines sont de type 'brute force', et visent à forcer une page contenant un login, ce sont les plus faciles à sécuriser...

Avant tout, soyez sûr que votre site en 100% SSL, car cela le protège en partie de certaines attaques web :  https://support.yoorshop.hosting/knowledgebase/1551/Comment-installer-un-certificat-SSL.html

Solution 1 :
Bloquez la un moment par cPanel : 'Bloqueur d'adresse IP', plusieurs heures après venez la débloquer (que ce soit une IP google ou non)

Pour les attaques sur formulaire de contact ou inscription ou espace client, c'est du 'force brute', inutile de lutter contre les IPs qui changent sans arrêt, il faut mettre en place un protection par captcha : ReCapatcha

Solution 2 :
Si une multitude d'IP s'attaquent à votre site, pas la peine de courir après chaque, cela s'appelle une attaque de niveau 7, et le seul remède c'est le bouclier à plusieurs niveaux. Sachez qu'une partie est déjà filtré par notre pare-feu avant le serveur, et aussi par l'anti-ddos de notre fournisseur. Pour mettre un terme à l'attaque, si besoin, il faut faire des ajustements par Nginx au niveau de votre compte

Ce bouclier est une config spéciale YOORshop que vous allez pouvoir mettre en place en quelques clics, et son but est de restreindre l'accès à votre site à seulement quelques IP durant quelques minutes, cela va faire baisser la tension, et les attaquants (des robots bien évidemment) vont abandonner après quelques minutes seulement car ils n'arrivent plus à envoyer une requête valide... Il n'y a pas d'autres solutions pour faire cesser ce genre d'attaques... Nous devons faire comprendre à l'attaquant que le site n'est plus vulnérable.

Depuis votre cPanel, voyez en bas la section Nginx, et le plugin Nginx-Manager
Choisissez votre domaine puis cliquez 'Configure'

Activez les 2 premiers en même temps :

1. Test cookie challenge
Les bots n'acceptent pas les cookies en général, ce filtre ne laissera pas passer si le cookie n'est pas accepté.
Tous les bots populaires comme google et autre sont exclus du test cookie
Voici l'option dans Nginx pour cette solution temporaire ou permanente, voir 'Security settings', voyez la ligne : 'bot mitigate', cliquez sur enabled, puis 'Apply settings'

Vérifiez si il n'y a pas d'effets indésirable, dans lequel cas, vous pouvez le désactiver facilement depuis votre cPanel. Il est tout à fait normal de voir l'ajout dans l'URL : 'bot_test=1'. Le code de redirection utilisée est 307.

(NB : Si un robot légitime est bloqué en raison de son rôle dans votre activité, nous pouvons l'autoriser sur demande, il nous faut son nom 'user agent' ou l'IP si statique. Si un client légitime est bloqué car il n'accepte pas les cookies, il pourra résoudre tout seul avec le message : https://www.hostingfilters.com/cookie-test.html)

2. Pour une action modérée à moyen terme, voir 'Application status', laissez PROXY et cliquez Select, choisir le profil Nginx : 'YOORshop ddos attack repeated', puis : 'Apply upstream configuration'. Ceci va couper les connexions à partir d'un certain seuil de nombre de connexions à votre site web. L'attaquant va se rendre compte de ceci au bout d'un moment, ses attaques n'atteindront pas leur objectif qui est double : mettre votre site hors ligne pendant plusieurs heures, et de manière sous-jacente nuire au serveur qui abritent aussi d'autres clients... (Pour rappel, le mode normal est le profil YOORshop Defaut).

3. Si cela ne suffit pas, passez au template Nginx : 'YOORshop ddos attack'. Vous pouvez aussi activer la mitigation DOS stricte dans 'Security settings' : 'DOS mitigate', elle est un peu plus stricte et n'autorise par les requêtes HEAD au cas ou ce serait le cas d'attaque par ce type de requêtes.

4. Activer Cloudflare depuis votre cPanel sans changer les DNS, et allez dans Settings, mettez 'Under attack' quelques heures, puis high et moderate graduellement...

Observez ce qui se passe après au moins 15 minutes après chacune de vos actions, ceci va prendre plus ou moins de temps de faire stopper l'attaque. Notez que pendant la mitigation, il est normal de voir 'Webservice currently unavailable Error 503'

Si les mesures 1 et 2 suffisent, vous pouvez en théorie laisser cette configuration permanente pour test_cookie. Pour le profil 'YOORshop ddos attack repeated', si vous ne voyez pas de dommages en visitant sur votre site web/ou au niveau moyen de vos commandes, vous pouvez le laisser définitivement. Si la mesure 3 ne suffit pas, il va falloir envisager de coupler votre domaine avec Cloudflare en amont, voir article dédié.

Si les mesures 1,2,3 ne suffisent pas, nous contacter.