[Linux-bruxelles] faille Apache2 ? ... DOS attack...

[Didier MISSON]

linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 15:31:04:

> Didier MISSON a écrit :
> > linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:
> > 
> >> Salut,
> >>
> >> Pour commencer, que disent les logs d'apache ?
> >>
> >> La prochaine fois que ça arrive, fais un :
> >>
> >> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
> 
> pardon, c'est $5 et pas $4
> 
> > J'ai ceci "au repos" :
> > 
> > didier at abrasd03:~$ sudo netstat -tanpu | grep ":80 " | awk {'print 
$4'} | 
> > sort |
> > [sudo] password for didier:
> >       1 0.0.0.0:80
> >       2 127.0.0.1:80
> >       2 192.168.168.251:80
> > 
> > Mais est-ce que j'arriverai à passer cette commande en cas de 
saturation 
> > du serveur...
> 
> passe par un screen au besoin sinon dans un script.sh :
> 
> #!/bin/bash
> while true; do
> top -b -n1 | head -n15
> netstat -tanpu|grep ":80 "|awk {'print $5'}|sort|uniq -c
> sleep 15
> done
> 
> puis lance (sous root) un : nohup ./script.sh >> /root/log &
> 
> Ça va balancer dans le fichier log les infos utiles toutes les
> 15 secondes. Il n'y aura plus qu'à lire le fichier après un
> nouveau plantage.


Ok, je vais essayer d'implémenter ça ce soir.

 
> > Dans les logs :
> > 
> > dans /log/apache2/access.log.1
> > 
> > localhost - - [06/Jan/2008:15:35:21 +0100] "GET /server-status?auto 
> 
> 06/Jan/2008, vieux :) tu n'as pas de fichier 
> /log/apache2/access.log ?
> 
> > HTTP/1.1" 200 299 "-" "libwww-perl/5.805"
> ../..
> > Pas évident de s'y retrouver dans les logs... 
> > Les logs d'Apache2 lui-même ? Ceux du domaine (je les ai séparé) ?
> > d'accès ou d'erreur ?
> 
> On ne sait pas d'où ça vient donc à priori tous... Tu peux 
> t'aider de grep pour la date et l'heure.

Merci Bruno et bonne fin de journée,

-- 
Didier
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20090623/a5f58550/attachment-0002.html>