[Linux-bruxelles] faille Apache2 ? ... DOS attack...
Bruno
bruno at brunop.be
Mar 23 Juin 15:31:04 CEST 2009
Didier MISSON a écrit :
> linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:
>
>> Salut,
>>
>> Pour commencer, que disent les logs d'apache ?
>>
>> La prochaine fois que ça arrive, fais un :
>>
>> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
pardon, c'est $5 et pas $4
> J'ai ceci "au repos" :
>
> didier at abrasd03:~$ sudo netstat -tanpu | grep ":80 " | awk {'print $4'} |
> sort |
> [sudo] password for didier:
> 1 0.0.0.0:80
> 2 127.0.0.1:80
> 2 192.168.168.251:80
>
> Mais est-ce que j'arriverai à passer cette commande en cas de saturation
> du serveur...
passe par un screen au besoin sinon dans un script.sh :
#!/bin/bash
while true; do
top -b -n1 | head -n15
netstat -tanpu|grep ":80 "|awk {'print $5'}|sort|uniq -c
sleep 15
done
puis lance (sous root) un : nohup ./script.sh >> /root/log &
Ça va balancer dans le fichier log les infos utiles toutes les
15 secondes. Il n'y aura plus qu'à lire le fichier après un
nouveau plantage.
> Dans les logs :
>
> dans /log/apache2/access.log.1
>
> localhost - - [06/Jan/2008:15:35:21 +0100] "GET /server-status?auto
06/Jan/2008, vieux :) tu n'as pas de fichier
/log/apache2/access.log ?
> HTTP/1.1" 200 299 "-" "libwww-perl/5.805"
../..
> Pas évident de s'y retrouver dans les logs...
> Les logs d'Apache2 lui-même ? Ceux du domaine (je les ai séparé) ?
> d'accès ou d'erreur ?
On ne sait pas d'où ça vient donc à priori tous... Tu peux
t'aider de grep pour la date et l'heure.
Plus d'informations sur la liste de diffusion Linux-bruxelles