[Linux-bruxelles] faille Apache2 ? ... DOS attack...

[Bruno]

Didier MISSON a écrit :
> linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:
> 
>> Salut,
>>
>> Pour commencer, que disent les logs d'apache ?
>>
>> La prochaine fois que ça arrive, fais un :
>>
>> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c

pardon, c'est $5 et pas $4

> J'ai ceci "au repos" :
> 
> didier at abrasd03:~$ sudo netstat -tanpu | grep ":80 " | awk {'print $4'} | 
> sort |
> [sudo] password for didier:
>       1 0.0.0.0:80
>       2 127.0.0.1:80
>       2 192.168.168.251:80
> 
> Mais est-ce que j'arriverai à passer cette commande en cas de saturation 
> du serveur...

passe par un screen au besoin sinon dans un script.sh :

#!/bin/bash
while true; do
top -b -n1 | head -n15
netstat -tanpu|grep ":80 "|awk {'print $5'}|sort|uniq -c
sleep 15
done

puis lance (sous root) un : nohup ./script.sh >> /root/log &

Ça va balancer dans le fichier log les infos utiles toutes les
15 secondes. Il n'y aura plus qu'à lire le fichier après un
nouveau plantage.

> Dans les logs :
> 
> dans /log/apache2/access.log.1
> 
> localhost - - [06/Jan/2008:15:35:21 +0100] "GET /server-status?auto 

06/Jan/2008, vieux :) tu n'as pas de fichier 
/log/apache2/access.log ?

> HTTP/1.1" 200 299 "-" "libwww-perl/5.805"
../..
> Pas évident de s'y retrouver dans les logs... 
> Les logs d'Apache2 lui-même ? Ceux du domaine (je les ai séparé) ?
> d'accès ou d'erreur ?

On ne sait pas d'où ça vient donc à priori tous... Tu peux 
t'aider de grep pour la date et l'heure.