Hack ?

[Daddyref]

Bonjour,
Je rencontre un soucis étrange.
Je suis chez ovh avec nom de domaine en start 1m, donc 1 MO de ftp ,et 1 go de bande passante.
Jusqu'alors je consommais 5 mo par mois de bande bassante car le site fait moins de 50 visites par mois ( source google analytics) et j'occupe un espace ftp de 0,5 Mo
Mais j'ai recu un mail d'ovh me disant que je dépassais le traffic mensuel autorisé, plus de 1,23Go.
En regardant d'ou pouvez venir la consommation, j'ai trouvé dans l'administration urshin cela :
robot/user agent : curl
valid hits : 15,534
error : 0
total hits : 15,534
bytes : 1.23GB
curl/7.21.3 (i686-pc-linux-gnu) libcurl/7.21.3 OpenSSL/0.9.8o

Cela ressemble a une forme de hacking non ? et que puis je faire ?
Par ailleurs j'ai plusieurs sites en start 1mo et plusieurs sont touchés mais pas tous.
Merci de votre aide.

 

[zeb]

Cela ressemble a une forme de hacking non ? et que puis je faire ?

Qq'un à du aspirer ton site ou le crawler en auto via un script pour en extraire des données tu ne peux rien faire sauf gérer un système anti aspirateur.
edit -> si c'est ton www c'est pas ça le problème (pas assez de pages) sinon regarde tes logs ...

 

[Daddyref]

Merci de votre réponse mais ce n'est pas mon www c'est un autre site qui comporte 5 pages de contenu, rien de spécial.
Voici des milliers de log qui reviennent :
88.191.229.22 http://www.monsite.fr - [13/Jan/2012:10:52:22 +0100] "GET /img/top2.jpg?x=p362_1063 HTTP/1.1" 200 42258 "-" "curl/7.21.3 (i686-pc-linux-gnu) libcurl/7.21.3 OpenSSL/0.9.8o zlib/1.2.3.4 libidn/1.18"

Comment lutter ? Bannir la plage ip peut être mais comment ?

Merci à vous.
PS : après étude de mes autres sites dans le même domaine, j'ai le même soucis les même logs reviennent, je crois que c'est une attaque de la part des concurrents, une aide serait la bien venu

 

[zeb]

De façon très basique tu peux déjà bloquer les IP indésirables (si tu est certains de leur "indésirabilité") avec un code de ce style dans un fichier .htaccess à la racine de l'hébergement :

	order allow,deny
	deny from 88.191.229.22
	deny from ... (autres IP)
	allow from all

 

[zeb]

trois questions :
Bosse tu dans le print ?
Est tu dans le nord ?
c'est quoi ton site (par MP si tu préfère)

 

[Daddyref]

Merci je vais essayé, en fouillant un peu j'ai le choix entre du "deny from" ou "RewriteCond %{REMOTE_ADDR} ^88\.191\.229\.* [OR]"
Quelle différence ?
PS : Je t'envoie un MP

 

[zeb]

"deny from" ou "RewriteCond %{REMOTE_ADDR} ^88\.191\.229\.* [OR]"

"deny from" n'ouvre pas la porte du serveur et envoie "ch*er" le visiteur
"RewriteCond" va traiter la demande et servir un contenu.

perso si c'est la diminution de ressources que je cible je le vire direct avec un "deny from" (ça te coutera moins cher en ressource). Dans l'idéal il faudrait même traiter l'IP en amont sur le pare feux (du coup apache serait même pas sollicité) mais pas évident que tu puisse accéder a ce niveau de paramétrage.

 

[Daddyref]

Merci je vais donc utiliser le deny car je veux effectivement consommer le moins de ressource possible, j'espère que cela marchera !