[Linux-bruxelles] faille Apache2 ? ... DOS attack... again...
Didier MISSON
didier.misson at total.com
Mar 23 Juin 14:27:33 CEST 2009
linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:
> Salut,
>
> Pour commencer, que disent les logs d'apache ?
>
> La prochaine fois que ça arrive, fais un :
>
> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
Planté ... encore...
J'avais laissé un SSH ouvert, avec un htop qui tournait.
Je retrouve cette session bloqué, serveur web (Ubuntu 8.04 server) ne
répond plus
et évidemment, pas pu passer cette commande :p)
------------------
Voici htop :
CPU[| 0.7%]
Tasks: 85 total, 1 running
Mem[||||||||||||||||||||| 158/973MB] Load
average: 0.33 0.19 0.12
Swp[|||| 65/1145MB]
Uptime: 02:18:48
PID USER PRI NI VIRT RES SHR S CPU% MEM% TIME+ Command
19447 www-data 20 0 47484 29716 3804 S 0.0 3.0 0:01.37
/usr/sbin/apache2 -k start
17981 www-data 20 0 47228 29344 3812 S 0.0 2.9 0:01.16
/usr/sbin/apache2 -k start
16307 www-data 20 0 37720 20304 3960 S 0.0 2.0 0:06.57
/usr/sbin/apache2 -k start
18503 www-data 20 0 37712 20292 3956 S 0.0 2.0 0:02.96
/usr/sbin/apache2 -k start
17468 www-data 20 0 37720 20256 3916 S 0.0 2.0 0:01.33
/usr/sbin/apache2 -k start
4290 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.00
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4291 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.00
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4292 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.00
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4293 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.00
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4295 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:01.37
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4296 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.98
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4297 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.00
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4298 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:00.13
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8338 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:01.48
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8349 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:01.49
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8354 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:01.87
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8417 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:02.09
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8428 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:02.08
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8435 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:02.26
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8478 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:01.29
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
8479 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:01.65
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
4287 mysql 20 0 137M 16656 2612 S 0.0 1.7 0:27.53
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
--pid-file=/
14360 root 20 0 25384 8276 4628 S 0.0 0.8 0:00.57
/usr/sbin/apache2 -k start
18988 munin 20 0 9468 5720 2016 S 0.0 0.6 0:00.24
/usr/bin/perl -w /usr/share/munin/munin-update
18989 munin 20 0 9512 5168 1456 S 0.0 0.5 0:00.01
/usr/share/munin/munin-update [ks37148.kimsufi.com]
18498 www-data 20 0 25516 5060 1316 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
19443 www-data 20 0 25516 5052 1312 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
19451 www-data 20 0 25520 5048 1304 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
18982 www-data 20 0 25384 4936 1212 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
19441 www-data 20 0 25384 4868 1144 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
19446 www-data 20 0 25384 4864 1144 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
19442 www-data 20 0 25384 4856 1136 S 0.0 0.5 0:00.00
/usr/sbin/apache2 -k start
4765 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:00.00
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4766 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:00.83
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4767 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:02.46
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4768 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:00.04
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4769 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:00.01
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4772 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:00.07
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4773 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:06.28
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
5174 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:00.08
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
4750 ntop 20 0 106M 4788 1224 S 0.0 0.5 0:10.31
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a
/var/log/nto
16336 root 20 0 11356 3720 2968 S 0.0 0.4 0:00.09 sshd: didier
[priv]
16343 didier 20 0 5648 2976 1452 S 0.0 0.3 0:00.19 -bash
16835 root 20 0 5132 2732 1472 S 0.0 0.3 0:00.24 /bin/bash
5089 root 20 0 73024 2320 1060 S 0.0 0.2 0:00.64
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
5090 root 20 0 73024 2320 1060 S 0.0 0.2 0:01.00
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
5095 root 20 0 73024 2320 1060 S 0.0 0.2 0:01.29
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
5110 root 20 0 73024 2320 1060 S 0.0 0.2 0:00.69
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
5114 root 20 0 73024 2320 1060 S 0.0 0.2 0:01.23
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
5116 root 20 0 73024 2320 1060 S 0.0 0.2 0:00.74
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
5127 root 20 0 73024 2320 1060 S 0.0 0.2 0:00.65
/usr/bin/python /usr/bin/fail2ban-server -b -s
/var/run/fail2ban/fail2ban.sock
F1Help F2Setup F3SearchF4InvertF5Tree F6SortByF7Nice -F8Nice +F9Kill
F10Quit
Du fait de l'accès boulot via Proxy / Proxy / Firewall / Firewall / Modem
NAT ....
je ne suis pas certain que ma session HTOP se soit plantée juste au début
du problème, ou 5 ou 10 minutes avant celui ci !
Donc, je ne sais pas si c'est significatif.
En tout cas, il n'y avait pas encore de saturation, ni cpu ni mémoire...
et puis... planté !
Des idées ?
Merci et bon après-midi
--
Didier
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20090623/f72db668/attachment-0002.html>
Plus d'informations sur la liste de diffusion Linux-bruxelles