Bonjour Andrés et Laurence et meilleurs vœux ! Merci beaucoup pour ces manips. Bonne journée, Sylvain De : Cantharella-devel <cantharella-devel-bounces@list.forge.codelutin.com> De la part de Andrés Maldonado Envoyé : mardi 6 janvier 2026 13:08 À : laurence.tronc@ird.fr; cantharella-devel@list.forge.codelutin.com Objet : [SPAM] Re: [Cantharella-devel] Requêtes excessives sur cantharella-demo. DDOS ? Bonjour Laurence, Super, je ne vois plus de requêtes de bots de mon côté, ça m'a l'air bon. Bonne journée, Andrés Maldonado Code Lutin On 06/01/2026 12:26, laurence.tronc@ird.fr <mailto:laurence.tronc@ird.fr> wrote: Bonjour Andres, le prestataire m'informe qu'il a fait la manip ce matin, je ne peux pas vérifier aujourd'hui, pouvez-vous regarder si les logs des bots sont maintenant stoppés ? Laurence Tronc +33 4 34 11 44 45 Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants Institut de Recherche pour le Développement _____ De: <mailto:maldonado@codelutin.com> "maldonado@codelutin.com" <mailto:maldonado@codelutin.com> <maldonado@codelutin.com> À: "laurence tronc" <mailto:laurence.tronc@ird.fr> <laurence.tronc@ird.fr>, cantharella-devel@list.forge.codelutin.com <mailto:cantharella-devel@list.forge.codelutin.com> Envoyé: Lundi 5 Janvier 2026 16:53:07 Objet: Re: [Cantharella-devel] Requêtes excessives sur cantharella-demo. DDOS ? Top, merci Laurence pour cette analyse, ça confirme qu'on a principalement affaire à des bots. L'IP 65.21.224.111 et user-agent 'Monitoring Code Lutin' ce sont les requêtes faites toutes les minutes par notre monitoring. Elles ont un impact faible niveau ressources, pouvez-vous dire à l'hébergeur de ne pas les bloquer ? Bonne journée, Andrés Maldonado Code Lutin On 05/01/2026 16:12, laurence.tronc@ird.fr <mailto:laurence.tronc@ird.fr> wrote: Demande de hardening envoyée à notre hébergeur, je vous tiens au courant de sa mise en place. Pour info : Par exemple ce matin, de très nombreuses requêtes non souhaitées par l'IP 74.7.227.18 : [root@vmreverseproxyis cantharella-demo]# cat access.log | awk '{print $2}' | sort | uniq -c | sort -k1,1nr 108123 74.7.227.18 998 65.21.224.111 124 35.173.18.61 ... Sur Janvier, IP et user-agent, indiquant notamment des bot : [root@vmreverseproxyis cantharella-demo]# (cat access.log && zcat access.log-2026010*.gz) | awk -F'"' '{ split($1, a, " "); print a[2], $6 }' | sort | uniq -c | sort -k1,1nr 877458 74.7.243.216 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot) 548417 74.7.227.18 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot) 12984 65.21.224.111 Monitoring Code Lutin 2065 35.173.18.61 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36 ... Sur Janvier, les principaux user-agent : [root@vmreverseproxyis cantharella-demo]# (cat access.log && zcat access.log-2026010*.gz) | awk -F'"' '{print $6 }' | sort | uniq -c | sort -k1,1nr 1427914 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot) 508126 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36 13004 Monitoring Code Lutin 2558 Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/) 1077 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36; compatible; OAI-SearchBot/1.3; robots.txt; +https://openai.com/searchbot Le 05/01/2026 à 12:37, laurence.tronc@ird.fr <mailto:laurence.tronc@ird.fr> a écrit : Andres j'ai RV à 14h avec notre ingé sécu pour voir comment traiter au mieux, je vous tiens au courant au plus vite. Le 05/01/2026 à 11:14, Andrés Maldonado a écrit : Bonjour Laurence, et bonne année ! Je remets en pièce jointe l'extrait des logs du 12/12. Le chemin complet du fichier est /usr/local/tomcat/logs/localhost_access_log.2025-12-12.txt dans le conteneur cantharella-web, mais vous aurez plus d'infos dans les logs Apache sur vmreverseproxyis. Je vois dans l'extrait des logs Apache que les requêtes viennent surtout de GPTBot/1.3. Peut-être qu'on pourrait restreindre les bots AI au moyen du fichier robots.txt suivant: https://github.com/ai-robots-txt/ai.robots.txt/blob/main/robots.txt. Est-il possible de le mettre en place au niveau de Apache ? Bonne journée, Andrés Maldonado Code Lutin On 05/01/2026 10:34, laurence.tronc@ird.fr <mailto:laurence.tronc@ird.fr> wrote: Bonjour Andres, tout d'abord mes meilleurs voeux pour cette nouvelle année. Il semblerait que je n'ai malheureusement pas reçu votre mail du 12/12, pourriez-vous me renvoyer l'extrait de log qui était en PJ (et me préciser le path complet de ce fichier de log) ? Voici ce que j'ai pu voir rapidement, je ne sais pas s'il s'agit des logs que vous aviez noté : [irdroot@vmcantharella-trial ~]$ sudo docker exec -it cantharella-web sh # pwd /usr/local/tomcat/logs # tail -f localhost_access_log.2026-01-05.txt [root@vmreverseproxyis cantharella-demo]# pwd /var/log/httpd/vhosts/cantharella-demo [root@vmreverseproxyis cantharella-demo]# tail -f access.log cantharella-demo.ird.fr 3.89.176.255 - - [05/Jan/2026:10:28:58 +0100] "GET /register;jsessionid=3FF32B61E83DD78F1D2E1C1D58D96A3E?0 HTTP/1.1" 200 18184 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?29--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737952609&antiCache=1766919232962 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?287&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737952609&antiCache=1766919232962 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?80--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766738034900&antiCache=1767084715960 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?288&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766738034900&antiCache=1767084715960 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?33--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734193903&antiCache=1766998301649 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?289&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734193903&antiCache=1766998301649 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?126-28.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735992039&antiCache=1767188265860 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?126&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735992039&antiCache=1767188265860 HTTP/1.1" 200 19733 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?182-31.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?182&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 200 19733 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?65--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737592833&antiCache=1767030903956 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?290&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737592833&antiCache=1767030903956 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?194-17.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734085465 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?194&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734085465 HTTP/1.1" 200 19541 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 34.194.165.45 - - [05/Jan/2026:10:29:01 +0100] "GET /;jsessionid=B5F3B486A476788F0294D3B5E7B98CA8?0-1.-SelectEnglishLang HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 34.195.248.30 - - [05/Jan/2026:10:29:01 +0100] "GET /register;jsessionid=3FF32B61E83DD78F1D2E1C1D58D96A3E?0--Form-CaptchaModel.captchaImage&antiCache=1767605337645 HTTP/1.1" 200 14753 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?182-32.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?182&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 200 19733 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 34.194.165.45 - - [05/Jan/2026:10:29:02 +0100] "GET /;jsessionid=5FA69392C05F17ECE607182509D7F7F1?0 HTTP/1.1" 200 5509 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:02 +0100] "GET /register?234--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734992293&antiCache=1767082186132 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:02 +0100] "GET /register?291&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734992293&antiCache=1767082186132 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:02 +0100] "GET /register?48--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734212439&antiCache=1766899970924 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:03 +0100] "GET /register?292&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734212439&antiCache=1766899970924 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" Merci d'avance pour les informations complémentaires, Le 26/12/2025 à 17:38, Andrés Maldonado a écrit : Bonjour, Je me permets de relancer ce sujet. Depuis hier 17h, les requêtes massives sur la VM vmcantharella-trial ont recommencé. Notre monitoring reporte que la mémoire et l'espace disque sont saturés. J'ai effacé à la main quelques fichiers, mais ça se remplit vite à nouveau. J'ai fait une capture tcpdump au niveau de la VM. Je vois que les requêtes viennent de sources variées (header X-Forwarded-For). Par exemple 98.82.214.73 (Amazon), 74.7.227.57 (Microsoft), 47.79.201.24 (Alibaba Cloud). Il y a-t-il des solutions qui peuvent être mises en place au niveau de l'hébergeur pour mitiger ce DDOS ? Cordialement, Andrés Maldonado Code Lutin On 12/12/2025 04:03, Andrés Maldonado wrote: Bonjour, Suite à une alerte disque sur cantharella-demo, j'ai fait une nouvelle version 1.5.5 qui limite les logs Tomcat (seuls les derniers 90 jours sont gardés maintenant). Mais je me suis aussi rendu compte que le dossier `/usr/local/tomcat/work` (dans le conteneur `cantharella-web`) prenait beaucoup de place sur `cantharella-demo` (2.4 Go) et pas sur les autres VM (moins de 10 Mo) `work` a l'air de contenir un cache de pages web Wicket. En vérifiant les logs, je vois qu'il y a une quantité anormalement élevée de requêtes. On est à 10-15 GET par seconde, alors que sur les autres VM on n'a rien à part 2 GET par minute venant du monitoring. J'ajoute en pièce jointe un extrait des logs sur cantharella-demo. Comme il n'y a que des GET, ça n'a pas l'air d'être une tentative d'intrusion. Ça n'a pas l'air d'être un crawler AI non plus, puisque les mêmes pages sont redemandées à chaque fois. Je me demande si ce serait pas une tentative de DDOS. @Laurence, est-ce que vous pouvez vérifier au niveau du load balancer quelles sont les IPs qui font ces requêtes et les bloquer si nécessaire ? Merci d'avance, _______________________________________________ Cantharella-devel mailing list Cantharella-devel@list.forge.codelutin.com <mailto:Cantharella-devel@list.forge.codelutin.com> https://list.forge.codelutin.com/cgi-bin/mailman/listinfo/cantharella-devel -- Laurence Tronc Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants IRD - Institut de Recherche pour le Développement +33 4 34 11 44 45 -- Laurence Tronc Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants IRD - Institut de Recherche pour le Développement +33 4 34 11 44 45 -- Laurence Tronc Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants IRD - Institut de Recherche pour le Développement +33 4 34 11 44 45