Je viens vous partager ma déception au regard d'une attaque qui subsiste depuis hier sur mon vps. L'assaillant à l'air plutôt bien préparé puisque le redémarrage de la machine, la configuration du firewall d'ovh, iptables n'y font rien. Il aurait visiblement créé un script automatique qui reprend l'attaque automatiquement. J'ai tout essayé et après 10 heures de recherche acharné, aujourd'hui je suis dans l'épuisement et dans l'attente d'obtenir de l'aide qui va me sortir de ce pétrin. Voici un screen issu des logs qui résume brièvement l'attaque
Passez votre site sur cloudflare. ça devrait pas mal aider. Si la config de base n'aide pas, essayez d'activer le mode "under attaque". Vu que les IPs sont à chaque fois différentes ça me parait compliqué de configurer fail2ban / crowdsec pour faire quelque chose.
+1 pour la solution de @Sich Le gros problème avec ce type d'attaque c'est que si les IP sources sont spoofées, les bannir massivement avec un filtre Fail2ban par exemple bannira des IPs légitimes (ce qui peut être gênant pour les IPs de google ou Cloudflare par ex ). Cela peut quand même aider dans les cas désespérés en attendant que l'attaquant se lasse vite… Que donne le TOP 100 des ip sources ? (awk '{print $2}' /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -n 100)
Il ya aussi Apache mod_event qui peut aider. C'est difficile à configurer pour éviter trop de faux positif mais peut quand même aider à mitiger l'attaque.
Bon courage, tiens nous au courant, il va se lasser (mon record c'est une semaine avec une slowloris particulièrement chiante).
Je vous remercie pour vos réponses. J'ai filtrer des milliers d'ips avec un script que je me suis créé pour cette situation laborieuse. Pour résumer ce script, j'ai créé un set contenant des milliers d'ips ( des ips illégitimes seulement ) et j'ai rajouter dans la première ligne de la table d'entrée d'iptables cet hashset pour qu'il bloque en premier lieu les ips bannis. Le côté positif, c'est que les ips sont bloquées mais le site charge tout de même longuement et donc ça frêne tout juste l'attaque.
