[Linux-bruxelles] faille Apache2 ? ... DOS attack... script
Didier MISSON
didier.misson at total.com
Mer 24 Juin 12:36:25 CEST 2009
linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 15:31:04:
> Didier MISSON a écrit :
> > linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:
> >
> >> Salut,
> >>
> >> Pour commencer, que disent les logs d'apache ?
> >>
> >> La prochaine fois que ça arrive, fais un :
> >>
> >> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
>
> pardon, c'est $5 et pas $4
ça donne donc ce genre d'info :
root at abrasd03:~# netstat -tanpu | grep ":80 " | awk {'print $5'} | sort |
uniq -c
1 0.0.0.0:*
1 127.0.0.1:46525
1 127.0.0.1:46526
1 127.0.0.1:46527
1 141.227.1.2:44971
> passe par un screen au besoin sinon dans un script.sh :
>
> #!/bin/bash
> while true; do
> top -b -n1 | head -n15
> netstat -tanpu|grep ":80 "|awk {'print $5'}|sort|uniq -c
> sleep 15
> done
ça donne ceci toutes les 15 secondes :
root at abrasd03:~# ./script.sh
top - 12:31:20 up 54 min, 1 user, load average: 0.03, 0.15, 0.59
Tasks: 86 total, 1 running, 85 sleeping, 0 stopped, 0 zombie
Cpu(s): 8.9%us, 1.8%sy, 6.2%ni, 78.6%id, 4.3%wa, 0.0%hi, 0.1%si,
0.0%st
Mem: 997120k total, 302740k used, 694380k free, 15072k buffers
Swap: 1172736k total, 68516k used, 1104220k free, 112684k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 2844 432 380 S 0.0 0.0 0:01.50 init
2 root 15 -5 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT -5 0 0 0 S 0.0 0.0 0:00.00 migration/0
4 root 15 -5 0 0 0 S 0.0 0.0 0:00.03 ksoftirqd/0
5 root RT -5 0 0 0 S 0.0 0.0 0:00.00 watchdog/0
6 root 15 -5 0 0 0 S 0.0 0.0 0:00.03 events/0
7 root 15 -5 0 0 0 S 0.0 0.0 0:00.01 khelper
41 root 15 -5 0 0 0 S 0.0 0.0 0:00.03 kblockd/0
1 0.0.0.0:*
1 192.168.168.251:49024
le screen ? Je récupère la session, ou l'affichage, même après reboot ?
Jamais essayé de rebooter avec un screen actif...
> puis lance (sous root) un : nohup ./script.sh >> /root/log &
ok ça tourne.
/root/log se rempli correctement toutes les 15 secondes.
> Ça va balancer dans le fichier log les infos utiles toutes les
> 15 secondes. Il n'y aura plus qu'à lire le fichier après un
> nouveau plantage.
oui... car j'ai encore eu un autre plantage,
et je n'avais pas eu le temps de mettre le script hier soir :-(
>
> > Dans les logs :
> >
> > dans /log/apache2/access.log.1
> >
> > localhost - - [06/Jan/2008:15:35:21 +0100] "GET /server-status?auto
>
> 06/Jan/2008, vieux :) tu n'as pas de fichier
> /log/apache2/access.log ?
>
> > HTTP/1.1" 200 299 "-" "libwww-perl/5.805"
> ../..
> > Pas évident de s'y retrouver dans les logs...
> > Les logs d'Apache2 lui-même ? Ceux du domaine (je les ai séparé) ?
> > d'accès ou d'erreur ?
>
> On ne sait pas d'où ça vient donc à priori tous... Tu peux
> t'aider de grep pour la date et l'heure.
Merci,
Je donne des infos si ça replante ;-)
--
Didier
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20090624/65bb44d5/attachment-0002.html>
Plus d'informations sur la liste de diffusion Linux-bruxelles