Faudrait peut être voir pour la mise en place d’un système de cache (varnish, apache mod reverse proxy, squid reverse proxy,xcache ce dernier est un module php) &/ou un CDN pour délivrer ton contenu statique et mettre en cache ton php ?
Edit : je sais que jréponds pas a ta question de départ hein, jte suggère juste des pistes.
Pour sécuriser apache tu peux voir du côté de mod_security
[quote=“Kristy”]Faudrait peut être voir pour la mise en place d’un système de cache (varnish, apache mod reverse proxy, squid reverse proxy,xcache ce dernier est un module php) &/ou un CDN pour délivrer ton contenu statique et mettre en cache ton php ?
Edit : je sais que jréponds pas a ta question de départ hein, jte suggère juste des pistes.
Pour sécuriser apache tu peux voir du côté de mod_security[/quote]
J ai pris le CDN OVH pendant la premiere semaine ( ca va faire 3 semaien en tout )
et rien n’y fait,
j ai pris un VPS ou j ai install Squid3 en reverse proxy … pareil …
Oki , je suppose que t’as regardé les :
guides.ovh.com/MachineSurchargeeApache2
guides.ovh.com/MachineSurchargeeApache1
guides.ovh.com/MachineSurchargeeApache3
??
Sinon vas y , le conseil du keep-alive qui doit etre mis à ON…
On dirait que ca ressemble à ta situation, t’es sur que ton cache fonctionne ? Ca à réduit la charge d’apache ou non ?
Ton cdn tourne fort ? :s
Ton site il buzz vraiment ou t’as l’impression plutot que c’est du flood ?
[quote=“Kristy”]Oki , je suppose que t’as regardé les :
guides.ovh.com/MachineSurchargeeApache2
guides.ovh.com/MachineSurchargeeApache1
guides.ovh.com/MachineSurchargeeApache3
??
Sinon vas y , le conseil du keep-alive qui doit etre mis à ON…
On dirait que ca ressemble à ta situation, t’es sur que ton cache fonctionne ? Ca à réduit la charge d’apache ou non ?
Ton cdn tourne fort ? :s
Ton site il buzz vraiment ou t’as l’impression plutot que c’est du flood ?[/quote]
Le site a 7 ans, il tournai tres bien
OVH a confirmé l’attaque Flood , le CDN ca ne marche pas , car le site plante en 3 secondes apres redemarrage de apache
Ah mais attend, t’as règle fail2ban elle fonctionnait non?
Elle devait juste “buggé” de temps en temps, pck s’il ban trop d’ip il faut ajouter un sleep dans le binaire non?
Pck ca me semble en faites la meilleur chose à faire :S.
Tu fais une règle fail2ban sur les requêtes index.php?XXXYZY.
[quote=“Kristy”]Ah mais attend, t’as règle fail2ban elle fonctionnait non?
Elle devait juste “buggé” de temps en temps, pck s’il ban trop d’ip il faut ajouter un sleep dans le binaire non?
Pck ca me semble en faites la meilleur chose à faire :S.
Tu fais une règle fail2ban sur les requêtes index.php?XXXYZY.[/quote]
Non j ai pas reussi a faire fonctionné fail2ban …
[quote=“jjm”]
Le site a 7 ans, il tournai tres bien
OVH a confirmé l’attaque Flood , le CDN ca ne marche pas , car le site plante en 3 secondes apres redemarrage de apache[/quote]
Oui, il tournait bien…
Mais ce n’est peut être plus le cas aujourd’hui :
-Tu as peut être été chanceux pendant 7 ans et pas eu ce genre de flood qui révèle peut être que ton site est une “usine à gaz”. On peut pas le savoir. Du coup, faudrait nous donner des détails, par exemple connaître le temps d’execution de ta page.
Je crois que pour MySQL tu as aussi Slow_queries, qui permet de te donner le nombre de requêtes qui ont dépassés le temps permis (ca pourrait déjà donner des indications si tu as des requêtes qui pompent).
-Si tu mets ton PHP à jour (enfin même si ce n’est pas le cas), actives les messages d’erreurs (config Apache), et tous … et là tu pourras te rendre compte > des éventuelles failles, des problèmes, et ainsi voir si cela vient du site ou pas.
Personnellement j’ai certains sites qui date de plus de 12/13 ans. Je me suis amusé à remettre en ligne il n’y a pas longtemps un des sites que j’avais fermé il y a 10 ans environ 
et bien, je te fais pas dire les centaines d’erreurs sur le bordel … et oui, PHP ca évolue, beaucoup de fonctionnalités deviennent obsolètes. Je l’ai fait pour faire une “démonstration” à un ami qui code avec ses pieds.
Pour faire des tests, voir si c’est bien ta page qui déconne, vu que c’est une index.php, remplace là par une index.html vierge. Réupdate ta index.php avec un nom comme index97.php et fais les tests. Supprime ensuite la page. (si les floodeurs font un scan, ils vont trouver ta page en 2 secondes) tu sauras si les problèmes viennent de ta page ou non… ca sera un début, si la moyenne de chargement de ta page c’est 2 secondes, alors c’est que ton site est mal programmé, ou ta base de données mal conçue, sûrement les deux. (la moyenne, c’est la somme des temps de chargement de ta page, divisée par ton nombre d’essais, genre 20 ou 30, voire beaucoup plus si tu t’amuses à créer un script pour automatiser les essais) Si tout tourne bien, c’est que tu as un problème coté logiciel (mauvaise config, ou autre)
Personnellement sur mes serveurs, j’active les erreurs, toutes… Comme ca, si il y a un problème, je le sais, je peux le corriger…
EDIT : si je suis pas clair sur quelque chose dis le moi, j’ai du taper mon message un peu rapidement, je dois y aller j’ai un rdv
Salut,
Je suppose que le CMS utilisé est commun, quel est-il ?
cert.ssi.gouv.fr/site/CERTA-2007-INF-002/
J’ajouterai …
Nul n’a fait référence à un fichier .htaccess : [mono]37K … /var/www/Domaine.com/.htaccess[/mono] bien ficelé … 
[quote=“BelZéButh”]Salut,
Je suppose que le CMS utilisé est commun, quel est-il ?
cert.ssi.gouv.fr/site/CERTA-2007-INF-002/
J’ajouterai …
Nul n’a fait référence à un fichier .htaccess : [mono]37K … /var/www/Domaine.com/.htaccess[/mono] bien ficelé … [/quote]
Non c est un CMS perso … fait a l epoque pour nous, et refais en 2010 ,
pour le Htaccess c est ce que j avais essayé
RewriteCond %{THE_REQUEST} ^POST.index.php [NC]
RewriteRule . lock.php [L]
et lock;php enregistre tout les IP , la , j’ai fait un regle fail2ban … mais ca ne banni pas …
j’ai lu que mocsecurity pouvais geré les HTTP flood … je vais l installer et voir la
Quatre ans se sont écoulés et php à évoluer, lui aussi … 
[quote=“jjm”]pour le Htaccess c est ce que j avais essayé
RewriteCond %{THE_REQUEST} ^POST.index.php [NC]
RewriteRule . lock.php [L][/quote]
Plutôt léger le .htacess. 
Pour le site,
je prend conscience que je dois le refaire, c est clair
pour le Htaccess , c est juste la partie pour cette attaque,
tu vois d 'autre chose a faire ?
Avant de poursuivre …
Tu n’as fait nul référence à la version Debian (et ce qu’il s’en suit …) en place chez ovh.
En espérant qu’il ne s’agisse pas de : Etch, Lenny, Squeeze où plus ancien, hein …
ps : des sauvegardes, bien sûr
Avant de poursuivre …
Tu n’as fait nul référence à la version Debian (et ce qu’il s’en suit …) en place chez ovh.
ps : des sauvegardes, bien sûr
[/quote]
Centros 6 - Cpanel
Sur un forum Debian, cela va être chaud, bien que …
j avoue c est limite … mais bon c est pareil 
ou presque ,
je suis tellement deseperé …
[quote=“jjm”][quote=“BelZéButh”]
Tu n’as fait nul référence à la version Debian (et ce qu’il s’en suit …) en place chez ovh.
[/quote]
Centros 6 - Cpanel[/quote]
Voici les infos que j’obtiens, via le managerv3.
[quote=“ovh”]Parmi les système d’exploitation Linux, OVH vous propose: des distributions classiques ou des distributions prêtes à l’emploi
OVH vous offre le choix entre les Linux suivants :
Système d’exploitation CentOS 6.5
32 bits 64 bits[/quote]
[quote=“ovh”]Parmi les système d’exploitation Linux, OVH vous propose: des distributions classiques ou des distributions prêtes à l’emploi
OVH vous offre le choix entre les systèmes suivants :
Système d’exploitation Cpanel 11 (CentOS 6)
[/quote]
N’auriez vous pas pris un peu de retard dans les mises à jour … a l epoque
Le tout, gérer via une interface graphique, pour bien faire … 
Centos je ne pratique pas, mais j’imagine que …
Tu pourrais songer sérieusement à migrer de CentOS-6 vers CentOS-6.5, impliquant la mise à jour d’Apache2, Php5, Mysql, etc … je suppose, de même pour Cpanel.
Cela devrait déjà régler bon nombre de soucis/failles. 
tu devrais mettre un varnish en front , ça t’éviterai ce genre de souci 
Tu peux expliquer le lien de cause à effet, parce que je ne vois pas.
Je suis peut-être naïf, mais soit ce sont des requêtes légitimes mais le serveur ne tient plus la charge, soit c’est un flood, une attaque, et il me semble que peu importe que le site soit bien conçu ou non, l’objectif du flood étant de le saturer de toute façon (et si le serveur répond plus vite alors il recevra plus de requêtes). Dans les deux cas les solutions ne sont pas du tout les mêmes.
Fait pété ta configuration fail2ban, le filter.d et le jail.conf ( la partie concernant le filtre que tu mets pour ton index.php?XYZ), pour voir ce qui va pas. On est bien d’accord que les requêtes “type” index.php?XYZ ne sont pas faites dans le cas d’une utilisation normale?
Tu peux testé ta regex avec la commande fail2ban-regex /etc/fail2ban/filter.d/tonfiltre /var/log/apache2/tonfichier.log
[Definition]
failregex = (?P[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}) .+ 404 [0-9]+ "
ignoreregex = favicon.ico
[apache-postflood]
enabled = true
filter = apache-404.conf
logpath = /home/monsite/access-logs/monsite.com
findtime = 10
maxretry = 10
action = iptables-multiport[name=BadBots, port=“http,https”]
sendmail-buffered[name=BadBots, lines=5, dest=you@example.com]