[Linux-bruxelles] faille Apache2 ? ... DOS attack...

[Didier MISSON]

Bonjour,

Mon serveur à la maison, actuellement Ubuntu 8.04 (Celeron 1,2 GHz, 1GB 
DDR2), a pas mal de problèmes depuis une dizaine de jours.
Régulièrement, il bloque totalement (difficile de prendre des docs !) et 
je dois faire un reset :-(

Je pensais avoir résolu le problème en déplaçant 2 sites Drupal vers un 
autre serveur. 
J'avais eu des retards de mises à jour (bcp à faire + 2 semaines de 
vacances...) et je pensais qu'il y avait peut-être un faille Drupal 
exploitée.

Comme ça semblait redevenu stable depuis 2 jours, j'ai pensé que le 
problème venait d'une correction non appliquée en Drupal, alors que le 
nouveau serveur lui était à jour pour Drupal.
Il restait sur mon ancien serveur à la maison, mon blog en WordPress

Mais non :-(

ça recommence ce matin !
Donc, sur mon serveur à la maison, Ubuntu 8.04.
Il reste mon blog en WordPress, et tout d'un coup, il se bloque ! Timeout.
J'essaye Munin : les pages s'affichent très difficilement, mais pas de 
stat ! càd déjà 15 minutes où elles ne sont plus mises à jour.

Je tente un SSH ...  ça semble répondre, mais TRES lentement !
Je réussis à faire logon.
J'essaie un htop, hyper long à répondre !
J'ai le temps de voir une page une fraction de secondes, car j'avais taper 
"Q" comme il ne répondait pas
Dans cette page htop, j'ai juste le temps de voir ENORMEMENT de tâche 
APACHE2 et un load dans les 100 !!!
Pas eu le temps d'analyser.

J'ai pu taper (toujours avec des délais de réaction dans les 30 ou 40 
secondes) un "sudo reboot"
puis j'ai perdu la session par timeout
(sans message de reboot...  C'est PuTTY et notre proxy boulot qui a coupé, 
pas le serveur)

J'ai finalement récupéré l'accès après environ 20 minutes.
Il n'a PAS rebooté correctement je pense.
Comme il était bloqué, j'avais démandé à ma fille, à la maison, de faire 
le RESET hardware du serveur.

Maintenant, je vois ceci dans le syslog :

Jun 23 11:27:54 abrasd03 /USR/SBIN/CRON[26158]: (munin) CMD (if [ -x 
/usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi)
Jun 23 11:27:56 abrasd03 /USR/SBIN/CRON[26161]: (root) CMD (if [ -x 
/etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 
12
 >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then 
/etc/munin/plugins/apt update 7200 12 >/dev/null; fi)
Jun 23 11:28:09 abrasd03 init: tty4 main process (4100) killed by TERM 
signal
Jun 23 11:28:09 abrasd03 init: tty5 main process (4101) killed by TERM 
signal
Jun 23 11:28:09 abrasd03 init: tty2 main process (4105) killed by TERM 
signal
Jun 23 11:28:09 abrasd03 init: tty3 main process (4106) killed by TERM 
signal
Jun 23 11:28:09 abrasd03 init: tty6 main process (4109) killed by TERM 
signal
Jun 23 11:28:09 abrasd03 init: tty1 main process (5175) killed by TERM 
signal
Jun 23 11:54:20 abrasd03 syslogd 1.5.0#1ubuntu1: restart.
Jun 23 11:54:20 abrasd03 kernel: Inspecting 
/boot/System.map-2.6.24-24-server
Jun 23 11:54:20 abrasd03 kernel: Loaded 28776 symbols from 
/boot/System.map-2.6.24-24-server.
Jun 23 11:54:20 abrasd03 kernel: Symbols match kernel version 2.6.24.

Il semble avoir bien accepté les KILL de la commande "reboot", en tout cas 
certains...
et pourtant, il n'a pas continué, pas redémarré puisqu'il ne l'a fait que 
24 minutes après quand ma fille a fait "reset"
:-(


Maintenant le serveur répond. Munin et le blog sont ok. Load de 0,25

Vu le nombre de tâche Apache et le load de 100, je pense à une attack DOS 
de ce type :

http://www.tux-planet.fr/multiple-http-server-low-bandwidth-denial-of-service/

C'est peut-être autre chose...
Une idée à ce sujet ?
Comment protéger Apache2 ?
Je pense que des mises à jour vont sortir, mais en attendant... c'est la 
m... 
Je ne suis jamais sur de retrouver le serveur on-line dans 10 minutes.

Merci

-- 
Didier
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20090623/c3a91c14/attachment-0001.html>