[Linux-bruxelles] faille Apache2 ? ... DOS attack... again...

Didier MISSON didier.misson at total.com
Mar 23 Juin 14:27:33 CEST 2009 

linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:

> Salut,
> 
> Pour commencer, que disent les logs d'apache ?
> 
> La prochaine fois que ça arrive, fais un :
> 
> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
 

Planté ... encore...

J'avais laissé un SSH ouvert, avec un htop qui tournait.
Je retrouve cette session bloqué, serveur web (Ubuntu 8.04 server) ne 
répond plus
et évidemment, pas pu passer cette commande :p)

------------------
Voici htop :


  CPU[|                                                         0.7%] 
Tasks: 85 total, 1 running
  Mem[|||||||||||||||||||||                                158/973MB] Load 
average: 0.33 0.19 0.12
  Swp[||||                                                 65/1145MB] 
Uptime: 02:18:48

  PID USER     PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
19447 www-data  20   0 47484 29716  3804 S  0.0  3.0  0:01.37 
/usr/sbin/apache2 -k start
17981 www-data  20   0 47228 29344  3812 S  0.0  2.9  0:01.16 
/usr/sbin/apache2 -k start
16307 www-data  20   0 37720 20304  3960 S  0.0  2.0  0:06.57 
/usr/sbin/apache2 -k start
18503 www-data  20   0 37712 20292  3956 S  0.0  2.0  0:02.96 
/usr/sbin/apache2 -k start
17468 www-data  20   0 37720 20256  3916 S  0.0  2.0  0:01.33 
/usr/sbin/apache2 -k start
 4290 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.00 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4291 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.00 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4292 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.00 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4293 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.00 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4295 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:01.37 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4296 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.98 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4297 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.00 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4298 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:00.13 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8338 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:01.48 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8349 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:01.49 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8354 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:01.87 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8417 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:02.09 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8428 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:02.08 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8435 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:02.26 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8478 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:01.29 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 8479 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:01.65 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
 4287 mysql     20   0  137M 16656  2612 S  0.0  1.7  0:27.53 
/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql 
--pid-file=/
14360 root      20   0 25384  8276  4628 S  0.0  0.8  0:00.57 
/usr/sbin/apache2 -k start
18988 munin     20   0  9468  5720  2016 S  0.0  0.6  0:00.24 
/usr/bin/perl -w /usr/share/munin/munin-update
18989 munin     20   0  9512  5168  1456 S  0.0  0.5  0:00.01 
/usr/share/munin/munin-update [ks37148.kimsufi.com]
18498 www-data  20   0 25516  5060  1316 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
19443 www-data  20   0 25516  5052  1312 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
19451 www-data  20   0 25520  5048  1304 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
18982 www-data  20   0 25384  4936  1212 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
19441 www-data  20   0 25384  4868  1144 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
19446 www-data  20   0 25384  4864  1144 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
19442 www-data  20   0 25384  4856  1136 S  0.0  0.5  0:00.00 
/usr/sbin/apache2 -k start
 4765 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:00.00 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4766 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:00.83 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4767 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:02.46 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4768 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:00.04 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4769 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:00.01 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4772 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:00.07 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4773 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:06.28 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 5174 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:00.08 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
 4750 ntop      20   0  106M  4788  1224 S  0.0  0.5  0:10.31 
/usr/sbin/ntop -d -L -u ntop -P /var/lib/ntop --skip-version-check -a 
/var/log/nto
16336 root      20   0 11356  3720  2968 S  0.0  0.4  0:00.09 sshd: didier 
[priv]
16343 didier    20   0  5648  2976  1452 S  0.0  0.3  0:00.19 -bash
16835 root      20   0  5132  2732  1472 S  0.0  0.3  0:00.24 /bin/bash
 5089 root      20   0 73024  2320  1060 S  0.0  0.2  0:00.64 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
 5090 root      20   0 73024  2320  1060 S  0.0  0.2  0:01.00 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
 5095 root      20   0 73024  2320  1060 S  0.0  0.2  0:01.29 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
 5110 root      20   0 73024  2320  1060 S  0.0  0.2  0:00.69 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
 5114 root      20   0 73024  2320  1060 S  0.0  0.2  0:01.23 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
 5116 root      20   0 73024  2320  1060 S  0.0  0.2  0:00.74 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
 5127 root      20   0 73024  2320  1060 S  0.0  0.2  0:00.65 
/usr/bin/python /usr/bin/fail2ban-server -b -s 
/var/run/fail2ban/fail2ban.sock
F1Help  F2Setup F3SearchF4InvertF5Tree  F6SortByF7Nice -F8Nice +F9Kill 
F10Quit


Du fait de l'accès boulot via Proxy / Proxy / Firewall / Firewall / Modem 
NAT ....
je ne suis pas certain que ma session HTOP se soit plantée juste au début 
du problème, ou 5 ou 10 minutes avant celui ci !
Donc, je ne sais pas si c'est significatif.
En tout cas, il n'y avait pas encore de saturation, ni cpu ni mémoire... 
et puis... planté !

Des idées ?

Merci et bon après-midi

-- 
Didier

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20090623/f72db668/attachment-0002.html>

Plus d'informations sur la liste de diffusion Linux-bruxelles