Il y a environ deux mois, un de mes sites a commencé à subir une sorte d'attaque, et après une enquête plus approfondie, j'ai découvert qu'il s'agissait d'un botnet de zombies et de quelque chose d'autre que je n'arrive pas à comprendre.
Mon site n'est pas un site de commerce électronique, n'est pas populaire et n'a rien qui puisse intéresser qui que ce soit. Dans google analytics, il est passé de 800-1000 visites/jour à plus de 100k/jour.
La première série d'attaques s'est arrêtée, et elle s'est arrêtée progressivement. Elle est donc passée de 100k-50k-30k-10k-5k-1k/jour pour finalement revenir à la normale. Ce qui est étrange, c'est que le phénomène est tellement étendu qu'il serait impossible de bloquer les adresses IP, car il y en a des milliers et des milliers. 90 % des messages proviennent des États-Unis, et tous sont envoyés par des utilisateurs d'Internet Explorer, versions 6, 7 et 8. Il n'y a absolument aucune similitude dans les blocs d'adresses IP qui pourrait être mise en évidence.
Elle a recommencé environ trois semaines plus tard et est restée cette fois extrêmement stable. J'ai commencé à utiliser Cloudflare Pro afin d'acheminer le trafic via leur DNS et d'être en mesure de voir les attaques et ce qu'ils faisaient plus simplement.
J'ai bloqué tous les pays d'où provenaient les attaques, à l'exception des États-Unis, car c'est mon public.
Je ne comprends pas du tout pourquoi cet immense trafic américain, qui semble réel, continue d'arriver sur mon site. Le temps moyen sur le site est de 8-10 secondes, mais je filtre les visites de rebond et le temps moyen est de 2 minutes ou plus pour le trafic mystérieux. J'ai contacté mon fournisseur d'hébergement à plusieurs reprises et ils ont beaucoup travaillé avec moi pour essayer de résoudre ce problème, mais ils n'y arrivent pas non plus.
En fin de compte, le trafic semble réel, mais il ne l'est pas. Toute aide ou conseil serait grandement apprécié.
