depuis plusieurs jours je fais l'objet d'attaques incessantes sur mon serveur (scanner php et cgi, tentatives d'exploits, de BOF, de proxying et même DoS).
Le comportement ainsi que la fréquence des attaques me mènent à penser qu'il s'agit de virus ou de script kiddies scannant le réseau et lançant une floppée d'attaques automatisées dès qu'un port 80 ouvert est découvert.
Actuellement mon serveur encaisse parfaitement le choc et aucune faille n'a été trouvée. Par contre le serveur traite toutes les demandes et le nombre de hits généré et impressionnant, ce qui fait monter le processus en mémoire et cause des ralentissements et coupures.
Puisque ces connexions n'appellent jamais mon nom de domaine mais mon adresse IP, une solution serait de bloquer toute connexion ne se faisant pas explicitement par DNS.
En gros :
http://321.654.12.5 <---- refusé (403)
et
http://www.monsite.com (et sous-domaines) <----- accepté
Pour ce faire j'utilise le mod_rewrite d'Apache. Malheureusement je ne suis que très peu familier avec les règles de ce module et (malgré mon apprentissage forcé) tout ce que j'arrive à faire est, soit de tout bloquer, soit de n'interdire que l'affichage des images.
Je commence à désepérer
(et surtout à manquer de sommeil)
Quelqu'un s'est-il déjà retrouvé dans ce cas ou aurait-il les connaissances nécessaires pour m'aider?
Je vous remercie d'avance
