Le week-end dernier, l’un de nos serveurs, celui qui héberge le magazine RiskAssur a subi des attaques à répétition sur la partie serveur SQL (le serveur de données qui contient l’ensemble des articles du magazine).
L’attaque a débuté samedi, vers midi, comme c’était le week-end, même si cela ralentissait énormément le fonctionnement du serveur (avec de multiples requêtes qui s’enchaînent incluant de longues chaînes de « NULL »), allant jusqu’à utiliser 75% des ressources, j’ai laissé faire. C’est un magazine professionnel, donc peu de lecteurs abonnés le week-end.
Ces attaques venaient de 2 adresses IP, alternant les requêtes, sans interruptions, n’arrivant à rien.
Dimanche matin, comme ce cirque continuait, pour tout rentre dans l’ordre et que RiskAssur soit fonctionnel pour le Lundi, j’ai tout simplement bloqué ces 2 adresses IP. Effectivement, tout est immédiatement rentré dans l’ordre.
Rien n’est anonyme sur internet, un simple « Whois » permet de savoir à qui appartiennent ces 2 adresses IP (que je ne publierai, ça n’a aucun intérêt). Il s’agit d’une entreprise, situé en proche banlieue de Paris, dans le 93 à Saint Denis.
Ce qui ennuyeux est que ces 2 adresses IP ont une réputation « correcte » à 100%.
Ainsi, le logiciel que nous utilisons pour repérer et bloquer les adresses ayant une très mauvaise réputation, n’a pas bloqué ces 2 adresses.
Une attaque sans conséquences, mais qui permet de découvrir que les bandits sur internet peuvent être des entreprises ayant pignon sur rue, situées en France et paraissant irréprochables.
