Bonjour Laurence, Super, je ne vois plus de requêtes de bots de mon côté, ça m'a l'air bon. Bonne journée, Andrés Maldonado Code Lutin On 06/01/2026 12:26, laurence.tronc@ird.fr wrote:
Bonjour Andres, le prestataire m'informe qu'il a fait la manip ce matin, je ne peux pas vérifier aujourd'hui, pouvez-vous regarder si les logs des bots sont maintenant stoppés ?
Laurence Tronc +33 4 34 11 44 45 Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants Institut de Recherche pour le Développement
------------------------------------------------------------------------ *De: *"maldonado@codelutin.com" <maldonado@codelutin.com> *À: *"laurence tronc" <laurence.tronc@ird.fr>, cantharella-devel@list.forge.codelutin.com *Envoyé: *Lundi 5 Janvier 2026 16:53:07 *Objet: *Re: [Cantharella-devel] Requêtes excessives sur cantharella-demo. DDOS ?
Top, merci Laurence pour cette analyse, ça confirme qu'on a principalement affaire à des bots.
L'IP 65.21.224.111 et user-agent 'Monitoring Code Lutin' ce sont les requêtes faites toutes les minutes par notre monitoring. Elles ont un impact faible niveau ressources, pouvez-vous dire à l'hébergeur de ne pas les bloquer ?
Bonne journée,
Andrés Maldonado Code Lutin On 05/01/2026 16:12, laurence.tronc@ird.fr wrote:
Demande de hardening envoyée à notre hébergeur, je vous tiens au courant de sa mise en place.
Pour info :
Par exemple ce matin, de très nombreuses requêtes non souhaitées par l'IP 74.7.227.18 : [root@vmreverseproxyis cantharella-demo]# cat access.log | awk '{print $2}' | sort | uniq -c | sort -k1,1nr 108123 74.7.227.18 998 65.21.224.111 124 35.173.18.61 ...
Sur Janvier, IP et user-agent, indiquant notamment des bot : [root@vmreverseproxyis cantharella-demo]# (cat access.log && zcat access.log-2026010*.gz) | awk -F'"' '{ split($1, a, " "); print a[2], $6 }' | sort | uniq -c | sort -k1,1nr 877458 74.7.243.216 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot) 548417 74.7.227.18 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot) 12984 65.21.224.111 Monitoring Code Lutin 2065 35.173.18.61 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36 ...
Sur Janvier, les principaux user-agent : [root@vmreverseproxyis cantharella-demo]# (cat access.log && zcat access.log-2026010*.gz) | awk -F'"' '{print $6 }' | sort | uniq -c | sort -k1,1nr 1427914 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot) 508126 Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36 13004 Monitoring Code Lutin 2558 Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/) 1077 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36; compatible; OAI-SearchBot/1.3; robots.txt; +https://openai.com/searchbot
Le 05/01/2026 à 12:37, laurence.tronc@ird.fr a écrit :
Andres j'ai RV à 14h avec notre ingé sécu pour voir comment traiter au mieux, je vous tiens au courant au plus vite.
Le 05/01/2026 à 11:14, Andrés Maldonado a écrit :
Bonjour Laurence, et bonne année !
Je remets en pièce jointe l'extrait des logs du 12/12. Le chemin complet du fichier est /usr/local/tomcat/logs/localhost_access_log.2025-12-12.txt dans le conteneur cantharella-web, mais vous aurez plus d'infos dans les logs Apache sur vmreverseproxyis.
Je vois dans l'extrait des logs Apache que les requêtes viennent surtout de GPTBot/1.3. Peut-être qu'on pourrait restreindre les bots AI au moyen du fichier robots.txt suivant: https://github.com/ai-robots-txt/ai.robots.txt/blob/main/robots.txt. Est-il possible de le mettre en place au niveau de Apache ?
Bonne journée,
Andrés Maldonado Code Lutin
On 05/01/2026 10:34, laurence.tronc@ird.fr wrote:
Bonjour Andres,
tout d'abord mes meilleurs voeux pour cette nouvelle année.
Il semblerait que je n'ai malheureusement pas reçu votre mail du 12/12, pourriez-vous me renvoyer l'extrait de log qui était en PJ (et me préciser le path complet de ce fichier de log) ?
Voici ce que j'ai pu voir rapidement, je ne sais pas s'il s'agit des logs que vous aviez noté :
[irdroot@vmcantharella-trial ~]$ sudo docker exec -it cantharella-web sh
# pwd /usr/local/tomcat/logs # tail -f localhost_access_log.2026-01-05.txt
[root@vmreverseproxyis cantharella-demo]# pwd /var/log/httpd/vhosts/cantharella-demo [root@vmreverseproxyis cantharella-demo]# tail -f access.log
cantharella-demo.ird.fr 3.89.176.255 - - [05/Jan/2026:10:28:58 +0100] "GET /register;jsessionid=3FF32B61E83DD78F1D2E1C1D58D96A3E?0 HTTP/1.1" 200 18184 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?29--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737952609&antiCache=1766919232962 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?287&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737952609&antiCache=1766919232962 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?80--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766738034900&antiCache=1767084715960 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:58 +0100] "GET /register?288&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766738034900&antiCache=1767084715960 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?33--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734193903&antiCache=1766998301649 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?289&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734193903&antiCache=1766998301649 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?126-28.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735992039&antiCache=1767188265860 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:28:59 +0100] "GET /register?126&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735992039&antiCache=1767188265860 HTTP/1.1" 200 19733 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?182-31.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?182&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 200 19733 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?65--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737592833&antiCache=1767030903956 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:00 +0100] "GET /register?290&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766737592833&antiCache=1767030903956 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?194-17.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734085465 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?194&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734085465 HTTP/1.1" 200 19541 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 34.194.165.45 - - [05/Jan/2026:10:29:01 +0100] "GET /;jsessionid=B5F3B486A476788F0294D3B5E7B98CA8?0-1.-SelectEnglishLang HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 34.195.248.30 - - [05/Jan/2026:10:29:01 +0100] "GET /register;jsessionid=3FF32B61E83DD78F1D2E1C1D58D96A3E?0--Form-CaptchaModel.captchaImage&antiCache=1767605337645 HTTP/1.1" 200 14753 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?182-32.-SelectEnglishLang&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:01 +0100] "GET /register?182&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766735092795&antiCache=1767109012899 HTTP/1.1" 200 19733 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 34.194.165.45 - - [05/Jan/2026:10:29:02 +0100] "GET /;jsessionid=5FA69392C05F17ECE607182509D7F7F1?0 HTTP/1.1" 200 5509 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Amazonbot/0.1; +https://developer.amazon.com/support/amazonbot) Chrome/119.0.6045.214 Safari/537.36" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:02 +0100] "GET /register?234--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734992293&antiCache=1767082186132 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:02 +0100] "GET /register?291&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734992293&antiCache=1767082186132 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:02 +0100] "GET /register?48--Form-CaptchaModel.captchaImage&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734212439&antiCache=1766899970924 HTTP/1.1" 302 - "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)" cantharella-demo.ird.fr 74.7.227.18 - - [05/Jan/2026:10:29:03 +0100] "GET /register?292&antiCache=1765550571828&antiCache=1765551864178&antiCache=1765704390157&antiCache=1765714047833&antiCache=1765716277732&antiCache=1765838563205&antiCache=1766734044202&antiCache=1766734049731&antiCache=1766734212439&antiCache=1766899970924 HTTP/1.1" 200 19729 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.3; +https://openai.com/gptbot)"
Merci d'avance pour les informations complémentaires,
Le 26/12/2025 à 17:38, Andrés Maldonado a écrit :
Bonjour,
Je me permets de relancer ce sujet. Depuis hier 17h, les requêtes massives sur la VM vmcantharella-trial ont recommencé. Notre monitoring reporte que la mémoire et l'espace disque sont saturés. J'ai effacé à la main quelques fichiers, mais ça se remplit vite à nouveau.
J'ai fait une capture tcpdump au niveau de la VM. Je vois que les requêtes viennent de sources variées (header X-Forwarded-For). Par exemple 98.82.214.73 (Amazon), 74.7.227.57 (Microsoft), 47.79.201.24 (Alibaba Cloud).
Il y a-t-il des solutions qui peuvent être mises en place au niveau de l'hébergeur pour mitiger ce DDOS ?
Cordialement,
Andrés Maldonado Code Lutin
On 12/12/2025 04:03, Andrés Maldonado wrote:
Bonjour,
Suite à une alerte disque sur cantharella-demo, j'ai fait une nouvelle version 1.5.5 qui limite les logs Tomcat (seuls les derniers 90 jours sont gardés maintenant).
Mais je me suis aussi rendu compte que le dossier `/usr/local/tomcat/work` (dans le conteneur `cantharella-web`) prenait beaucoup de place sur `cantharella-demo` (2.4 Go) et pas sur les autres VM (moins de 10 Mo)
`work` a l'air de contenir un cache de pages web Wicket. En vérifiant les logs, je vois qu'il y a une quantité anormalement élevée de requêtes. On est à 10-15 GET par seconde, alors que sur les autres VM on n'a rien à part 2 GET par minute venant du monitoring. J'ajoute en pièce jointe un extrait des logs sur cantharella-demo.
Comme il n'y a que des GET, ça n'a pas l'air d'être une tentative d'intrusion. Ça n'a pas l'air d'être un crawler AI non plus, puisque les mêmes pages sont redemandées à chaque fois. Je me demande si ce serait pas une tentative de DDOS.
@Laurence, est-ce que vous pouvez vérifier au niveau du load balancer quelles sont les IPs qui font ces requêtes et les bloquer si nécessaire ?
Merci d'avance,
_______________________________________________ Cantharella-devel mailing list Cantharella-devel@list.forge.codelutin.com https://list.forge.codelutin.com/cgi-bin/mailman/listinfo/cantharella-devel
-- Laurence Tronc Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants IRD - Institut de Recherche pour le Développement +33 4 34 11 44 45
-- Laurence Tronc Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants IRD - Institut de Recherche pour le Développement +33 4 34 11 44 45
-- Laurence Tronc Ingénieur système en appui aux outils scientifiques Direction pour le Développement des Usages Numériques Innovants IRD - Institut de Recherche pour le Développement +33 4 34 11 44 45