Première fois depuis sa création (avril 2012) que Grinçant.com « tombe ».
Et pas n’importe comment : serveur « Down » !
- 06:49 — Mon outil de « monitoring » m’envoie un mail pour me signaler que le serveur ne répond plus.
- 06:53 — Le même outil, qui « teste » toutes les cinq minutes, me signale que le blog Grinçant.com ne répond plus. Normal, puisque le serveur semble « Down ».
Parallèlement, de la part de mon hébergeur (OVH) :
- 06:54 — Mail : « Notre système de monitoring vient de détecter un défaut sur votre serveur {Bip}. Le défaut a été constaté à la date 2020-03-25 06:46:48. Notre équipe de techniciens sur site (opérationnelle 24h/24, 7j/7), a été informée de ce défaut et va intervenir sur votre machine. »
- 07:18 à 07:19 — Je reçois pas moins de 11 mails — des “Tickets de Mitigation” m’informant : « Nos services viennent d’intervenir pour bloquer une attaque entrante sur le serveur {Bip} et plus particulièrement sur l’adresse {Bip}. Cette adresse est maintenant protégée pendant une période de 1 heure. »
En fait, j’ai onze « adresses IP » affectées à ce serveur dédié (une machine puissante), dont une — 51.255.235.30 — spécialement attribuée à Grinçant.com. Toutes semblent donc concernées par cette attaque ! - 07:22 — Dernier mail :
« L’intervention sur {Bip} est terminée.
Cette opération a été achevée le 2020-03-25 07:22:18 CET (UTC +01:00)
Voici les détails de cette opération :
Reboot SOFT
Date 2020-03-25 06:57:22 CET (UTC +01:00), cedric C a fait Reboot SOFT:
Machine au login, sans ping, pas de firewall detecté.
Redémarrage soft de la machine effectué.
Machine au login.
Ping et ports ok. »
De mon côté :
- 07:21 — Mon outil de monitoring personnel m’indique, toujours par mail, que le serveur est « Up ». Mais rien pour le blog.
Sauf que moi, en plein confinement, ben je confine à autre chose…
Et je ne prends connaissance de la situation qu’à 10:30.
Et en fait, Grinçant.com est toujours… dans les choux !
J’essaye de me connecter à mon serveur (via SSH pour les connaisseurs), et je suis… jeté !
Donc, non, la machine ne semble pas « au login ». :-/
- 10:45 — Par mon interface d’administration « hébergeur », je demande carrément un redémarrage « physique » (le truc brutal, on coupe le courant et on le remet) de mon serveur…
- 10:50 — Le serveur a été relancé.
- 10:52 — J’arrive enfin à me connecter en mode “Administrateur système” via SSH.
- 10:55 — Je comprends qu’un service essentiel (celui qui « sert » les sites web) n’a pas redémarré… Je le (Nginx) lance manuellement…
- 10:56 — Ouf, Grinçant.com est de retour !!! Mon monitoring me confirme, par un dernier mail, qu’il est bien « Up ».
Bien sûr, des attaques, j’en ai quotidiennement, et de toutes sortes. J’en relatais d’ailleurs une ici, alors que la “Macronie” — autre vérole — nous tombait sur la gueule.
Mais là, à ce point, c’est une première !
Quand la « Mitigation » (intégrée dans l’infrastructure globale de l’hébergeur) entre en œuvre, c’est que l’on est victime d’une attaque de type DDoS :
« Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribuée a pour objectif de rendre un service ou une infrastructure indisponible, par le biais d’un nombre conséquent de requêtes simultanées provenant de différentes sources sur Internet. »
Et là, sur Wikipédia.
Pourquoi ai-je été victime de cela ? Qui est derrière ?
Notez bien que, dimanche dernier, en pleine crise du coronavirus, c’est l’Assistance publique-Hôpitaux de Paris (AP-HP), chargée de gérer 39 hôpitaux publics en Île-de-France, qui a été victime de la même chose…
Quelle drôle de société !
Nous vivons dans un bien triste monde ! :-/
© PF/Grinçant.com (2020)
PS : Curieusement, depuis ma dernière Brève, j’avais comme un pressentiment…
Effectivement, ce matin impossible de me connecter à votre site. J’ai essayé 3 ordis, même chose.
J’ai pensé que c’était le câble sous-marin qui est en cours de réparation dans l’Océan Indien, mais comme je pouvais me connecter à d’autres sites, je me disais qu’il y avait un autre problème !
Ouf, c’est réparé, c’est le principal, et que cela tienne et que les attaquants de cette cyberattaque soient attaqués, voire plus…
Un serveur « Down », c’est radical… On disparait du Net !
Pour les « attaquants », je ne vais même pas essayer de mener une enquête, car ils sont intouchables.
D’ailleurs, cette « panne » est assez curieuse, car la mitigation aurait dû intervenir avant que le serveur ne se mette en rideau.
À moins que le Covid-19 ne s’attaque aussi aux infrastructures informatiques ?
Ce qui est certain, ces que des salopards redoublent d’activité en ce moment. Donc, soyez encore plus prudents que jamais pour ce qui concerne (aussi) votre « hygiène numérique »…
Oui, @PF, vous êtes grinçant et dérangez certains, sans nul doute.
Pour ce qui est de trouver les auteurs… Même des iptraceroute ou ou autres iptracker, voire mieux, je crois comme vous, qu’ils ne donneront qu’une idée parcellaire des coupables.
Eh oui, la connerie est infinie chez certains.
Tous les moyens sont bons, surtout les plus vils.
Nous en voyons leur nocivité tous les jours, même s’ils se parent des plus grandes vertus, qui n’est qu’un masque.
Je vous rejoins aussi sur le fait que, ce « confinement » est une belle aubaine pour certains, qui vont pouvoir se lancer dans des attaques numériques à grande échelle, car les réseaux sont fragilisés ET le télétravail confié à bon nombre, ne permet pas de garantir le même niveau de sécurité qu’un intranet local.
Bon courage à vous.
Pour l’« aubaine », vous tombez bien, je viens de publier une “Brève” sur un mail d’arnaque qui vient de m’arriver :
Mail d’arnaque “Bercy Infos”
L’adresse IP est totalement… Inconnue !!!
Beaucoup d’entreprises/de professionnels risquent de tomber dans le panneau !:-/
Et ça a recommencé !
Mail de mon hébergeur/datacenter, horodaté de cette nuit, 1h32 :
Cette fois-ci, une seule adresse IP affectée au serveur a été attaquée, et 51.255.235.30, c’est celle spécialement attribuée au blog Grinçant.com. C’est donc le site qui a été particulièrement visé, plus que le serveur (quoique).
1h47, nouveau mail :
Ouf, 15 minutes d’attaque DDos, et cette fois-ci le serveur a été bien protégé par la « mitigation », et il n’est pas « tombé ».
Restons zen…
Pourquoi n’y a t’il pas des « contre-attaqueurs » honnêtes qui excellent dans l’internet pour attaquer les « attaqueurs » de mauvaise foi/emmerdeurs ?
Je me dis, pour me réconforter, qu’ils existent peut-être et qu’ils travaillent à cela incognito, et ce ne sont pas les « attaqueurs nuisibles » qui vont le dire ouvertement/ »à la criée » pour se plaindre… Cela serait juste, « œil pour œil dent pour dent », la peine devant être égale à l’infraction et justice serait rendue sans encombrer les tribunaux.
« Ce moqueur de génie a de quoi prévenir toutes les attaques, et, avant d’être touché lui-même, il fonce sur l’adversaire, le pique jusqu’au sang. »
François Mauriac (1885-1970), la Vie de Jean Racine, XVIII.
C’est plus compliqué.
Ces attaques types DDoS sont « massives », et souvent effectuées par un grand nombre de PC et/ou de serveurs/routeurs (ainsi que d’objets connectés, comme des caméras — cf. le malware Mirai) piratés/zombies.
Des millions de « requêtes » — possiblement des dizaines de Gbps (et même un « record constaté » à près d’un terabit/s) — peuvent ainsi être envoyées presque simultanément sur une même cible.
Donc, eux visent une cible, et en guise de « représailles », il faudrait identifier tous ces « zombies » et les attaquer, sachant qu’une seule machine ne sera jamais suffisante pour cela. En plus, attaquer des « zombies » — souvent dispersés à travers le monde — n’a guère de sens puisqu’il faudrait viser le cerveau/commanditaire/organisateur, extrêmement difficile à identifier, surtout dans un contexte international.
Dans le cas présent, j’ai été protégé par la « mitigation » (VAC, « aspiration ») — qui n’avait pas correctement fonctionné la première fois —, qui est de l’artillerie lourde chez l’hébergeur. Des matériels à plusieurs centaines de milliers d’euros associés à des outils logiciels complexes.
Bon, en même temps, je peux me dire que c’est la preuve que je « dérange » pour que de tels moyens soient déployés contre moi/ce blog.
PS1 : Dans l’attaque initiale de la Brève, toutes mes IPs avaient été visées, et là je ne comprends pas comment elles ont pu être identifiées. Ou alors c’était extrêmement massif, avec un maximum de « sulfateuses » visant tous azimuts (des plages d’IPs, avec les miennes dans le lot).
Sur le coup de cette nuit seule l’IP du blog était visée/attaquée.
PS2 : À la lumière de ces explications, vous comprendrez aisément que des « contre-attaqueurs honnêtes » n’ont pas les moyens de jouer les justiciers. Et s’ils ont des machines « zombies », c’est qu’ils sont… malhonnêtes !;-)
@Pamphlétaire
Le tracking des « attaquants » demande souvent une grosse artillerie pour remonter la source, entre les VPN, Proxy, piratage d’ordis infectés par trojan, etc., etc.
Artillerie dont ne dispose sans doute pas OVH et/ou @PF.
Qui plus est, selon le « niveau » et les moyens dont dispose l’attaquant, particulier(s), société(s) ou État(s), les techniques et les outils sont plus ou moins sophistiqués et/ ou difficilement détectables et à fortiori identifiables.
Du coup, je doute que l’hébergeur actionne ces outils pour un « blog ».
Et c’est à leur honneur, ils mettent en œuvre les contre-mesures adaptées dont ils disposent.
Sans garantie, mais limitant de beaucoup les dégâts possibles.
Je ne ferai pas de complotisme, je m’interroge juste — tout comme surement @PF — sur le pourquoi de ces attaques, précisément au moment où sa ligne éditoriale dénonce les errements de certains sur une certaine gestion de crise…
Je crois me remémorer que de telles attaques avaient déjà eu lieu, lorsque @PF avait dénoncé et ouvert une tribune à l’encontre d’une Société, l’affaire ayant in fine valu un procès à notre grinçant préféré.
De facto, je me garderai de me prononcer et de procéder à des mises en cause, je me contente de m’interroger, ce qui n’obère en rien mon avis sur la raison « fort opportune » dans ces moments, de ces attaques.
Bon courage @PF.
@Flavien
Votre réponse a croisé celle que je faisais, justement, à Pamphlétaire.
En 2017, OVH revendiquait 260 000 serveurs dans ses datacenters/son infrastructure, et j’ai retrouvé ces informations au sujet de leur “VAC” (aspirateur) :
Donc cela relève de l’hébergeur. Moi je ne « possède » qu’une seule machine* — pour ce blog — dans cette infrastructure. Et pourtant, c’est une « grosse bête » capable d’absorber un lourd trafic, mais face à ce genre d’attaques, il n’y a pas de solution miracle.
Quand OVH a mis en place son VAC/sa mitigation, ils l’ont imposé à tout le monde, avec un surcoût obligatoire, même pour les (petits) hébergements mutualisés (plein de sites sur un même serveur).
Pour ce qui me concerne, c’est intégré dans la location mensuelle de mon « dédié », et je ne discute même pas tellement cette protection me semble indispensable, la preuve d’ailleurs.
Au niveau des attaques, c’est soit pour nuire, soit pour de l’argent/des rançons.
Voir le chapitre « E-gaming et e-commerce : les types de services les plus ciblés par les attaques DDoS » dans l’article déjà en lien en début de post.
Oui, me concernant il y a un historique.
Mais peut-être aussi un rapport avec cette Brève — Macron, victimisation et bullshit à la Russe — de 2017, sachant que, même si ce blog se revendique comme « apolitique », j’ai poussé très tôt des coups de gueule contre ce personnage et la clique LaREM.
Toutefois, ça n’avait jamais déclenché le VAC/la mitigation, donc là c’est beaucoup plus massif/virulent. Les moyens sont peut-être aussi différents.
Il faut aussi savoir que l’environnement est totalement hostile, en permanence (je ne scrute même plus mes “logs”, même pour “enquêter”)**, il faut l’intégrer, et cela fait partie du « job » que de protéger tant le serveur que le site en lui-même.
Merci pour le « courage », il en faut. :-)
* Plus une seconde, plus petite, à des fins de sauvegardes.
** De toutes les manières, lorsque le “VAC” se déclenche, le principal du trafic hostile est détourné/aspiré, et je n’ai même plus de traces.
Merci pour les/vos précisions, mais cela reste de l’hébreu pour moi… Je n’ai pas les connaissances informatiques requises pour comprendre ces attaques de cybercriminels et j’ai regardé une vidéo « simple », mais cela reste incompréhensible.
Je comprends/saisis simplement que ces attaques sur « grincant.com » sont anonymes, car il est impossible de remonter à la source comme vous l’avez précisé, et qu’en outre PF dérange/embarrasse/trouble/perturbe par son site l’oligarchie dont des membres font appel à des « barbouzes informatiques » pour nuire au site grinçant et à PF. Les caisses noires existent toujours pour payer barbouzes et hommes de main illégaux.
« C’est de l’hébreu pour moi, je n’y puis rien comprendre. »
Molière (Jean-Baptiste Poquelin, dit) 1622-1673, l’Étourdi, III, 3.
Si vous pensez que mon commentaire peut vous nuire ou vous apporter une source/orientation d’attaques ou autres émanant de ces pirates, merci de ne pas l’éditer. À l’inverse, si vous savez comment des fidèles lecteurs peuvent perturber ces attaques, voire démasquer les coupables, je suis à votre écoute. C’est tout ce que je peux faire/vous proposer à mon échelon, à part d’arrêter de mettre des pamphlets… Mais alors « ils » auront gagné…
« Dites un mensonge qui flatte et l’on vous appréciera, dites une vérité qui dérange et l’on vous haïra. »
Alain Leblay, Consultant Rh, Conférencier, Formateur, France, Lignières en Berry, 1956.
Oui, c’est pas mal expliqué dans cette petite vidéo. Je l’ai d’ailleurs intégrée directement dans votre post, en remplacement du lien.
C’est malin, du coup ça m’a donné envie de manger un esquimau. ;-)
Et je n’avais même pas évoqué cette histoire de « réflecteurs ». Mais, effectivement, on se rend compte qu’il est presque impossible de lutter contre cela. En l’occurrence, c’est à l’hébergeur de protéger son infrastructure, et donc ses clients, mais ça a ses limites.
Je vous remercie beaucoup, mais à votre niveau vous ne pouvez strictement rien faire.
Pire encore, sachez que si je « contre-attaquais » (ou vous), eh bien c’est nous qui aurions de grandes chances d’être poursuivis/encabanés, surtout en France, et en 2020.
En fait, ils ont une impunité presque totale, et quasiment zéro risque.
Le blog continue, contre vents et marées… ;-)
Et si je devais l’arrêter, ça ne serrait pas pour ce genre de motif.
@Pamphlétaire
Votre lien vidéo et @PF vous démontrent bien les difficultés à répondre à ces attaques ou… à vos risques et périls, car la maîtrise de ces outils n’est pas à la portée du 1er venu.
Je ne suis qu’un utilisateur un peu avisé, et quand je vois le nombre de personnes qui ne savent pas ce qu’est un VPN, un firewall ou n’ont même pas d’antivirus costaud et naviguent avec Chrome, je me dis que la fenêtre au piratage est ouverte en grand.
Idem pour les serveurs, bourrés de failles, surtout s’il y a du JavaScript ou du flash pour activer certaines commandes…
De plus, comme le rappelle @PF, vous ne pouvez vous rendre justice vous-même, sauf certaines officines, mais elles agissent en backdoor la plupart du temps.
Donc, en imaginant que vous identifiez votre assaillant, il vous faudra saisir la justice, etc., etc. Bref, le temps que l’affaire arrive à sa conclusion, votre assaillant sera redevenu non identifiable.
Les preuves numériques sont complexes à obtenir, complexes à mettre en œuvre, et le législateur en retard de deux trains souvent dans l’expectative de les verser ou non au dossier.
Il m’arrive IRL, dans le cadre de certains dossiers, pour des raisons de défense de clients, de devoir mettre en avant certains de ces éléments — ex. traçage, mouchard sur un portable, piratage de compte mails, etc., etc.
C’est toujours très ardu, et j’ai la chance d’avoir un confrère en lien avec des membres de La Quadrature du Net qui m’ont à maintes reprises utilement conseillé.
Dans tous les cas @PF a raison, répondre à une attaque sans avoir identifié formellement l’auteur est très très dangereux, surtout dans certains domaines.
Pire encore…
En France, pour « ester », il faut avoir subi un « préjudice »…
Et quel est le préjudice dont pourrait se revendiquer un blog… bénévole/gratuit ???
Je mentionnais récemment — dans “1 000 ! Un blog et une saga” — la même problématique pour « lancer une alerte »… Je peux me faire attaquer pour différents motifs (diffamation, injure, dénigrement, etc.), alors que de mon côté je suis désarmé juridiquement, puisque je ne suis pas « victime ».
PS1 : En plus, un éventuel « dédommagement », c’est au maximum « à hauteur du préjudice », à quantifier, preuves à l’appui.
PS2 : Aux États-Unis, ce serait une autre paire de manches…
Les commentaires sont fermés.