Bonjour,
depuis maintenant 2 semaines, mon hébergement Web cloud (Performance 1) subit des attaques DDOS.
J'ai d'abord constaté que les attaques venaient principalement du Brésil, j'ai donc mis en place des restrictions sur ce pays au niveau d'un .httaccess. Mais maintenant, les attaques proviennent de la Chine. Je pourrais faire pareil, mais j'ai le sentiment que ce n'est pas la meilleur solution. Je me suis connecté en SSH sur le serveur dans l'espoir de configurer une solution comme fail2ban pour limiter les dégâts, mais je suppose qu'étant donné que je suis en offre Web cloud, le user SSH n'a pas les accès nécessaires pour configurer ce genre d'outil ("sudo" non reconnu, accès au path limité, etc...)
J'ai contacté le support, en pensant que des protections anti-DDOS proposées par OVH devraient me prémunir de ce genre d'attaques, mais on me répond que :
- une protection anti-DDOS est bien mise en place pour mon site
- que cela sort du cadre du support d'OVH
- qu'il faut faire appel à un webmaster pour vérifier le site, mettre à jour etc... et de contacter la communauté (ce que je fais via ce message)
J'ai donc plusieurs questions :
- Pourquoi la solution anti-DDOS d'OVH ne me protège pas dans ce cas de figure ?
- Pourquoi, me demande-t-on de mettre à jour mon site, est-ce que le fait que des milliers d'appels qui sont faits sur mon site n'est pas une cause "extérieur" à la couche applicative d'un serveur ?
- Comment me protéger et récupérer mon site qui ne cesse de tomber (mise à jour difficile, chute des ventes)?
- Existe-t-il une possibilité de configurer du rate-limitting ou quelque chose de similaire sur le serveur ?
Quelques infos complémentaires :
- Je pense à une attaque DDOS, car c'est systématiquement la même URL appelée, depuis des IPs de pays qui d'habitude ne consultent pas spécialement mon site et que le nombre d'appels est vraiment important.
- Le site hébergé est un e-commerce Prestashop pas totalement à jour mais encore une fois je ne suis pas certains de comprendre comment une couche applicative pas à jour peut plus facilement laisser passer des attaques DDOS.
D'avance merci pour votre aide.
Louis
52209 
23.01.2019 16:32
Bonjour,
Première priorité, mettre à jour votre PS.
Deuxièmement, mettez votre site sur cloudflare et activez la protection contre les bots, en cochant la case protection contre les bots IA.
Eventuellement, imposez un challenge à tous les visiteurs sauf bots connus (google & co).
La protection DDOS OVH ne va pas vous protéger (ou très mal) contre des requêtes en masse sur http, car la dite protection a du mal à distinguer une requête légitime d'une requête abusive.
C'est bien votre job d'assurer une sécurité complémentaire à ce niveau. Pour ça il y a crowdsec éventuellement, mais pas possible sur votre offre.
Reste cloudflare, qui devrait faire le gros du job.
C'est dans ces situations que travailler avec un pro peut vous aider...
PS : Faites les mises à jour de votre site, si il se fait hacker, et qu'il y a fuite de données, vous serez responsable pour défaut de sécurisation des données clients. Là aussi, faites appel à un pro si vous ne savez pas faire.
Bonjour@DLC-Louis
Quelles sont les versions de Prestashop, PHP et MySQL ?
Les attaques DDOS proviennent-elles :
Pourquoi ne commencez-vous pas par mettre à jour Prestashop, le thème et tous les plugins ?
Bonjour@Gaston ,
merci pour votre retour.
Comme ma version prestashop est 1.7.8.11 et PHP 7.3. Comme je le disais dans mon précédent message, je ne sais que je ne suis pas à jour et je compte me mettre à jour, mais je ne parviens pas à saisir pourquoi mon environnement pas à jour peut laisser passer des attaques DDOS.
Via l'outil statistiques d'OVH, je ne vois pas les IPs mais je pense qu'il s'agit bien d'IP différentes car elles proviennent de régions différentes.
Louis
Bonjour@Gaston ,
Merci pour la réponse.
La version de Prestashop est 1.7.8.11, PHP est en 7.3. Comme je le mentionnais dans mon message, je sais bien que je ne suis pas à jour et je compte bien me mettre à jour, mais je ne comprends pas quel impact sur des attaques de type DDOS mon système pas à jour peut avoir.
Je ne vois pas directement les IPs depuis l'outil de statistiques d'OVH mais comme elles proviennent de régions différentes de la Chine, je suppose qu'il s'agit bien d'IP différentes.
Bonjour,
Première priorité, mettre à jour votre PS.
Deuxièmement, mettez votre site sur cloudflare et activez la protection contre les bots, en cochant la case protection contre les bots IA.
Eventuellement, imposez un challenge à tous les visiteurs sauf bots connus (google & co).
La protection DDOS OVH ne va pas vous protéger (ou très mal) contre des requêtes en masse sur http, car la dite protection a du mal à distinguer une requête légitime d'une requête abusive.
C'est bien votre job d'assurer une sécurité complémentaire à ce niveau. Pour ça il y a crowdsec éventuellement, mais pas possible sur votre offre.
Reste cloudflare, qui devrait faire le gros du job.
C'est dans ces situations que travailler avec un pro peut vous aider...
PS : Faites les mises à jour de votre site, si il se fait hacker, et qu'il y a fuite de données, vous serez responsable pour défaut de sécurisation des données clients. Là aussi, faites appel à un pro si vous ne savez pas faire.
Bonjour,
C'est un framework qui demande pas mal de travail à la mise en place et il est très courant qu'il ne soit pas à jour.
Historiquement, il y a eu aussi pas mal de loupé sur quelques versions et quand tu passes quelques dizaines de millier d'Euros par jour, planter un site n'est pas une option :) Les webmaster et propriétaire sont donc extrêmement prudent sur les évolutions.
En fait... Je crois que je n'ai aucun client Prestashop qui soit strictement à jour :)
L'anti DDOS OVH ne se déclenche pas car il n'est pas reconnu comme tel (pas assez rapide probablement).
Votre méthode est valable. Continuez à restreindre les sous réseaux via le .htaccess
Grillé par@Sich :)
Effectivement Cloudflare peut aider.