serveur DDoS par des régies pub

[Fuinril]

Bonjour,

J'ai un souci avec mon dédié : un petit kimsufit qui me sert à diverses choses perso.

Depuis 3 jours maintenant le serveur est innacessible car spammé de requêtes HTTP par différentes régies pubs (une quinzaine)... et quand je dis spammé c'est de l'ordre de 3 ou 400 requêtes par seconde. J'ai même dû arrêter Apache car les logs menaçaient de remplir le DD.

J'ai essayé de contacter les régies pub (pour celles que j'ai pu identifier) : une seule m'a répondu et j'ai beau leur envoyer des extraits des logs ils semblent peu désireux de me donner le nom du client en question, les autres n'ont même pas daignées répondre.

Je pense que le problème vient d'une bête erreur de conf DNS chez l'instigateur de la campagne de pub (que je ne peux pas identifier), mais si je ne peux pas les contacter.... j'aimerai des excuses (au moins) et un petit dédommagement.

J'ai contacté OVH sans trop d'espoir qui ont confirmé qu'à part changer d'IP, ou prendre un gros serveur, il n'y avait rien à faire.

Donc, est ce que quelqu'un saurait si légalement parlant je peux entreprendre une action en justice ? Si oui sous quel motif ?

Dans un autre registre : est-ce légal si je m'amuse à renvoyer en lieu et place de la pub demandé des bouts de js type redirection vers un site à moi blindé de pubs ? Ou un truc bien crade type image porno hard ?

Merci d'avance.

[Invité]

Le plus simple est sans doute de mettre un module antidos (genre mod_evasive pour apache).

[Fuinril]

Le plus simple est sans doute de mettre un module antidos (genre mod_evasive pour apache).

Non, sans aller taper la dedans j'ai envisagé l'option conf de fail2ban mais ce n'est pas possible, les ip des clients étant complètement variables... Ce n'est pas les régies pubs directement qui appelent mais un appel js du client final.

Je ne sais pas si j'ai le droit de mettre les ip (?) si oui je peux poster un bout de log...

[phia]

Salut à tous,

Depuis 3 jours maintenant le serveur est inaccessible car spammé de requêtes HTTP par différentes régies pubs (une quinzaine)... et quand je dis spammé c'est de l'ordre de 3 ou 400 requêtes par seconde.

Pour l'action en justice, si il s'agit réellement de spam donc d'envois de mails non sollicités,

Article L.34-5 du CPCE, "Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen."

SANCTIONS, 5 ans d'emprisonnement et 300 000 € d'amende, articles 226-18 et 226-18-1 du Code Pénal.

Mais si ce sont des requêtes HTTP, ce n'est plus du spam; plutôt du DoS volontaire ou non....

J'ai contacté OVH sans trop d'espoir qui ont confirmé qu'à part changer d'IP, ou prendre un gros serveur, il n'y avait rien à faire.

Dans les mails de spam que je reçois (et qui sont renvoyés à Spamcop), OVH apparait régulièrement comme relai de spam, largement en tête devant Free, puis Orange (Wanadoo), plus rarement SFR et les autres... A mon avis, ils ne feront rien (sinon profiter de l'occasion pour essayer de te refourguer un serveur plus cher !).

Dans un autre registre : est-ce légal si je m'amuse à renvoyer en lieu et place de la pub demandé des bouts de js type redirection vers un site à moi blindé de pubs ? Ou un truc bien crade type image porno hard ?

Tu peux renvoyer tout ce qui respecte la loi ou la netiquette; pas d'incitation à la haine raciale, ni pédopornographie, insultes, etc...

En effet, çà peut être un moyen de faire rapidement corriger le problème.

Ps: Oui, je veux bien voir un petit bout de log.

[Fuinril]

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://www.new'>http://www.new

carbanking.com/2012-fisker-karma-2.html" "Mozilla/4.73 [en] (WinNT; U)"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ad.globe7.com..._url=${PUB_URL} HTTP/1.0" 200 5

97 "http://www.today-entertainment.com/?p=195" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows 98; Alexa Toolbar)"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ad.globe7.com..._url=${PUB_URL} HTTP/1.0" 200 5

97 "http://smallbrightbusinessidea.com/index.php?option=com_content&view=article&id=3182:The-Importance-of-Paydex-Score-in-Building-Business-Credit&catid=241

&Itemid=76" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.5) Gecko/20091107 Firefox/3.5.5"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ad.tagjunctio..._url=${PUB_URL} HTTP/1.0"

200 597 "http://www.health-meditation.com/?p=329" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ads1.minister...2-00001i;size=4 HTTP/1.0" 200 597 "http://changedeep.com

/index.php?option=com_mailto&tmpl=component&link=ba02d52a15f939ae97e8ea1ac7407d01598618a6" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.6) Gecko/200

40206 Firefox/0.8"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ad.adserverpl...section=3026708 HTTP/1.0" 200 597 "http://www.ne

wcarbanking.com/audi-r8-spyder-5-2-v10-fsi-quattro.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; Alexa Toolbar)"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ads1.minister...5-00001i;size=2 HTTP/1.0" 200 597 "http://www.topeconoewat

ch.com/html/black-quilted-hobo-oioi-diaper-bags-review.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko/20040614 Firefox/0.9"

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ad.globaltake..._url=${PUB_URL} HTTP/1.0"

200 597 "http://www.healthcommon.com/index.php?option=com_content&view=article&id=2730:state-childrens-health-insurance-program-children-s-health-insurance&

catid=41:children-health-&Itemid=91" "Mozilla/5.0 (Windows NT 6.1; U; en-GB; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 Opera 10.51"

[phia]

J'ai l'impression que tous ces sites te prennent pour un serveur de pub, vu les "url=${PUB_URL"...

J'ai suivi un peu les liens, à chaque fois, ce sont des sites US ou canadiens...

X.X.X.X - - [25/Jan/2013:11:06:25 +0100] "GET http://ad.globe7.com..._url=${PUB_URL} HTTP/1.0" 200 5 97 "http://smallbrightbusinessidea.com/index.php?option=com_content&view=article&id=3182:The-Importance-of-Paydex-Score-in-Building-Business-Credit&catid=241&Itemid=76" "Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.5) Gecko/20091107 Firefox/3.5.5"

Je suis pas expert là-dedans, mais si tu trouves quoi renvoyer (texte, image, etc...), je suppose que tu devrais le voir apparaitre dans la page correspondant au 2ème lien http://smallbrightbusinessidea.com/index.php?option=com_content&view=article&id=3182:The-Importance-of-Paydex-Score-in-Building-Business-Credit&catid=241&Itemid=76

Je te conseille de renvoyer dans un 1er temps un message cordial du genre "Merci de corriger vos pages web qui saturent mon serveur avec vos requêtes" ou autres; si ton message apparait en plein milieu de leur page web, çà devrait les contraindre à réagir... et de conserver tes logs pour preuves... Ensuite, si çà dure trop longtemps, tu pourras leur envoyer des images de parties de jambe en l'air entre rhinocéros (ou autres... )

Mais c'est un sacré boulot !

[RaphAstronome]

Il y a pas moyen de firewaller sur les requêtes qui commencent par "GET http://ad." ?

D'ailleurs extrêmement curieux qu'il y ait le domaine ici, normalement c'est dans le paramètre "Host". Tu n'as pas touché à la config d'apache au niveau du format des logs ? Tu est sur quel distrib ?

Regarde ça c'est pas éxactement le même problème mais la solution peut être adaptable :

http://spamcleaner.org/fr/misc/w00tw00t.html

En gros ça pourrait donner quelque chose comme ça (attention, tiré du site et à peine modifié, j'ai pas testé) :

iptables -I INPUT -p tcp --dport 80 -m string --to 70 --algo bm --string 'GET http://ad.' -j DROP

[Fuinril]

Pour le renvoi c'est invérifiable... Complètement aléatoire (normal y a plein de pubs).

J'avais commencé par renvoyer un message demandant de corriger avant d'arrêter apache de peur de saturer le DD.

Pour le filtre j'emploie déjà cette solution contre le problème décrit dans le lien, mais ici c'est plus compliqué... Il y a tellement de paquets entrant que ça sature ma carte réseau, donc c'est une solution viable à court terme mais pas sur le long terme si je veux récupérer des perfs correctes.

Pour le format des logs, non ici c'est le format standard. Distrib Debian Squeeze.

[John Shaft]

Pour le côté juridique, il y a une loi (je sais plus laquelle) disant (pas dans ces termes) que tu n'as pas le droit d’inonder un serveur de requêtes et de le faire tomber ainsi (grosso-modo une loi contre les DDoS et les crawlers collecteurs un poil trop agressif).

[treflemard]

J'ai contacté OVH sans trop d'espoir qui ont confirmé qu'à part changer d'IP, ou prendre un gros serveur, il n'y avait rien à faire.

Dans les mails de spam que je reçois (et qui sont renvoyés à Spamcop), OVH apparait régulièrement comme relai de spam, largement en tête devant Free, puis Orange (Wanadoo), plus rarement SFR et les autres... A mon avis, ils ne feront rien (sinon profiter de l'occasion pour essayer de te refourguer un serveur plus cher !).

Salut,

à en croire les annonces et les clients mécontents car serveur coupé, il semblerait que OVH soit très nettement plus sévère depuis quelques semaines.

Dans ton cas, as tu essayé la règle iptables tarpit ? çà ne résoudra pas tout car comme tu l'as dit, il y a des milliers d'internautes/ip différentes mais çà baissera peut être la charge.