Mon site tourne sur un VPS 2016 Cloud 3 (Plesk Onyx on Debian 8)
le site devient lent depuis le 25 Avril et le nombre d'Inodes a saturé le disque à cause de l'augmentation incroyable des fichiers PHP Sessions.
J'ai réussi à libérer l'espace, mais en regardant dans le moniteur OVH, j'ai constaté une augmentation phénoménale du trafic depuis ce jours là :
Quelqu'un aurait une idée sur comment gérer ça ?
Merci
Serveurs Privés Virtuels (VPS) - Augmentation inhabituelle du trafic sur mon site
Related questions
- Perte de mot de passe
43587 
26.05.2023 13:36
- Comment configurer/utiliser un SMTP depuis un VPS ?
42569 07.10.2019 10:49
- Je connais que le mutu et besoin de node js
41742 14.04.2017 13:34
- Envoi Email via SMTP (port 587) sur VPS Pro1
39273 27.01.2017 10:02
- Qu'est-ce vcore?
38710 06.01.2017 19:20
- [résolu] Serveur Mysql - hôte inconnu
38281 19.01.2017 16:21
- Mon VPS à Timed Out
36256 15.03.2017 22:50
- Délai de livraison VPS
36076 11.07.2018 15:15
- Accès externe base de données
34386 18.07.2018 10:29
- Problème avec statisitique Plesk
34322 29.03.2017 07:44
A vous de voir dans vos logs ce qui justifie cette activité...
Juste avec un graph rzo c'est difficile à dire...
Et au passage attention, debian 8 sera eol dans 2 mois.
Ce serait une bonne occasion de passer sur la nouvelle gamme de vps d'ovh pour virer ce vps cloud de 2016 dont les perfs disques sont très mauvaises.
Mais pour en revenir au sujet de base, il faut consulter vos logs apache pour en savoir +...
Merci pour ton message,
J'ai regardé dans le fichier error log de Apache, je n'ai pas trouvé grande chose à avoir avec le problème du trafic, en voici un extrait :
[Tue Apr 28 07:13:32.010749 2020] [ssl:warn] [pid 11212:tid 140072169379712] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:13:32.022280 2020] [mpm_event:notice] [pid 11212:tid 140072169379712] AH00489: Apache/2.4.10 (Debian) OpenSSL/1.0.1t mod_fcgid/2.3.9 configured -- resuming normal operations
[Tue Apr 28 07:13:32.022307 2020] [core:notice] [pid 11212:tid 140072169379712] AH00094: Command line: '/usr/sbin/apache2'
[Tue Apr 28 07:15:13.155773 2020] [mpm_event:error] [pid 11212:tid 140072169379712] AH00484: server reached MaxRequestWorkers setting, consider raising the MaxRequestWorkers setting
[Tue Apr 28 07:20:44.674457 2020] [mpm_event:notice] [pid 11212:tid 140072169379712] AH00491: caught SIGTERM, shutting down
[Tue Apr 28 07:20:47.007277 2020] [ssl:warn] [pid 12168:tid 140498132047744] AH01909: webmail.guideastuces.com:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:20:47.008731 2020] [ssl:warn] [pid 12168:tid 140498132047744] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:20:47.009036 2020] [:notice] [pid 12168:tid 140498132047744] ModSecurity for Apache/2.9.3 (http://www.modsecurity.org/) configured.
[Tue Apr 28 07:20:47.009052 2020] [:notice] [pid 12168:tid 140498132047744] ModSecurity: APR compiled version="1.5.1"; loaded version="1.5.1"
[Tue Apr 28 07:20:47.009061 2020] [:notice] [pid 12168:tid 140498132047744] ModSecurity: PCRE compiled version="8.35 "; loaded version="8.35 2014-04-04"
[Tue Apr 28 07:20:47.009069 2020] [:notice] [pid 12168:tid 140498132047744] ModSecurity: LUA compiled version="Lua 5.1"
[Tue Apr 28 07:20:47.009075 2020] [:notice] [pid 12168:tid 140498132047744] ModSecurity: LIBXML compiled version="2.9.1"
[Tue Apr 28 07:20:47.009082 2020] [:notice] [pid 12168:tid 140498132047744] ModSecurity: Status engine is currently disabled, enable it by set SecStatusEngine to On.
[Tue Apr 28 07:20:47.009822 2020] [suexec:notice] [pid 12168:tid 140498132047744] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Tue Apr 28 07:20:48.006174 2020] [ssl:warn] [pid 12169:tid 140498132047744] AH01909: webmail.guideastuces.com:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:20:48.007122 2020] [ssl:warn] [pid 12169:tid 140498132047744] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:20:48.019146 2020] [mpm_event:notice] [pid 12169:tid 140498132047744] AH00489: Apache/2.4.10 (Debian) OpenSSL/1.0.1t mod_fcgid/2.3.9 configured -- resuming normal operations
[Tue Apr 28 07:20:48.019168 2020] [core:notice] [pid 12169:tid 140498132047744] AH00094: Command line: '/usr/sbin/apache2'
[Tue Apr 28 07:31:02.110889 2020] [mpm_event:error] [pid 12169:tid 140498132047744] AH00484: server reached MaxRequestWorkers setting, consider raising the MaxRequestWorkers setting
[Tue Apr 28 07:34:01.568691 2020] [ssl:warn] [pid 615:tid 140677323376512] AH01909: webmail.guideastuces.com:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:34:01.584744 2020] [ssl:warn] [pid 615:tid 140677323376512] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:34:01.585030 2020] [:notice] [pid 615:tid 140677323376512] ModSecurity for Apache/2.9.3 (http://www.modsecurity.org/) configured.
[Tue Apr 28 07:34:01.585045 2020] [:notice] [pid 615:tid 140677323376512] ModSecurity: APR compiled version="1.5.1"; loaded version="1.5.1"
[Tue Apr 28 07:34:01.585054 2020] [:notice] [pid 615:tid 140677323376512] ModSecurity: PCRE compiled version="8.35 "; loaded version="8.35 2014-04-04"
[Tue Apr 28 07:34:01.585060 2020] [:notice] [pid 615:tid 140677323376512] ModSecurity: LUA compiled version="Lua 5.1"
[Tue Apr 28 07:34:01.585065 2020] [:notice] [pid 615:tid 140677323376512] ModSecurity: LIBXML compiled version="2.9.1"
[Tue Apr 28 07:34:01.585071 2020] [:notice] [pid 615:tid 140677323376512] ModSecurity: Status engine is currently disabled, enable it by set SecStatusEngine to On.
[Tue Apr 28 07:34:01.588275 2020] [suexec:notice] [pid 615:tid 140677323376512] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Tue Apr 28 07:34:02.859034 2020] [ssl:warn] [pid 683:tid 140677323376512] AH01909: webmail.guideastuces.com:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:34:02.860446 2020] [ssl:warn] [pid 683:tid 140677323376512] AH01909: default:443:0 server certificate does NOT include an ID which matches the server name
[Tue Apr 28 07:34:02.870890 2020] [mpm_event:notice] [pid 683:tid 140677323376512] AH00489: Apache/2.4.10 (Debian) OpenSSL/1.0.1t mod_fcgid/2.3.9 configured -- resuming normal operations
[Tue Apr 28 07:34:02.870910 2020] [core:notice] [pid 683:tid 140677323376512] AH00094: Command line: '/usr/sbin/apache2'
[Tue Apr 28 07:38:45.229293 2020] [mpm_event:error] [pid 683:tid 140677323376512] AH00484: server reached MaxRequestWorkers setting, consider raising the MaxRequestWorkers setting
[Tue Apr 28 08:35:08.959409 2020] [cgid:error] [pid 6551:tid 140676821907200] [client 132.145.111.237:35097] AH01264: script not found or unable to stat: /var/www/vhosts/default/cgi-binluci
[Tue Apr 28 12:33:06.235676 2020] [cgid:error] [pid 15245:tid 140676863870720] [client 129.146.106.168:54535] AH01264: script not found or unable to stat: /var/www/vhosts/default/cgi-binluci
Par contre, là je viens de regarder dans le fichier access_log, j'ai vu une incroyable demande d'une même page (mais URL différentes et étranges) à partir des IP d'Amazon, et on peut être sûr que le problème vient de ces requêtes étranges.
3.229.118.113 - - [28/Apr/2020:14:30:42 +0200] "GET /NOM_DE_LA_PAGE%3Fitem%3D9%3EQuelle%3C/a%3E%E2%80%9C%3E%3C/a%3E%3C/p%3E%3C/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/logoGA.png HTTP/1.0" 200 7760 "-" "Go-http-client/1.1"
3.227.233.80 - - [28/Apr/2020:14:30:42 +0200] "GET /NOM_DE_LA_PAGE%3Fitem%3D9%3EQuelle%3C/a%3E%E2%80%9C%3E%3C/a%3E%3C/p%3E%3C/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/xxfa56a3016289eb38e8d528ed6966xx.jpg HTTP/1.0" 200 7760 "-" "Go-http-client/1.1"
34.225.194.88 - - [28/Apr/2020:14:30:42 +0200] "GET /NOM_DE_LA_PAGE%3Fitem%3D9%3EQuelle%3C/a%3E%E2%80%9C%3E%3C/a%3E%3C/p%3E%3C/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images_bestof/xxxc5bec6bcdb31e342f3bded4fb7xxx/images/images/logo_ga_wh.png HTTP/1.0" 200 7760 "-" "Go-http-client/1.1"
Est ce qu'il s'agit d'une attaque ? et comment faire pour bloquer ces requêtes ?
la solution la + simple serait de se mettre sur cloudflare...
Je pense qu'avec la sécurité de base ça doit le faire.
Au pire une rule sur le parefeu CF qui dit que sur une requête GET contenant NOM_DE_LA_PAGE on impose un "JS challenge", ça bloque la plupart des bots ça...
La 2° solution serait d'essayer de faire un filtre fail2ban qui essaierait de repérer ces accès douteux et de les bloquer... Du genre si la requête contient Go-http-client/1.1 on ban...
Merci @Sich, je vais essayer d'ajouter un filtre fail2ban c plus simple pour moi.