[Linux-bruxelles] faille Apache2 ? ... DOS attack... script

Mer 24 Juin 12:36:25 CEST 2009

linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 15:31:04:

> Didier MISSON a écrit :
> > linux-bruxelles-bounces at lists.bxlug.be wrote on 23/06/2009 13:20:55:
> > 
> >> Salut,
> >>
> >> Pour commencer, que disent les logs d'apache ?
> >>
> >> La prochaine fois que ça arrive, fais un :
> >>
> >> netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c
> 
> pardon, c'est $5 et pas $4

ça donne donc ce genre d'info :

root at abrasd03:~# netstat -tanpu | grep ":80 " | awk {'print $5'} | sort | 
uniq -c
      1 0.0.0.0:*
      1 127.0.0.1:46525
      1 127.0.0.1:46526
      1 127.0.0.1:46527
      1 141.227.1.2:44971

> passe par un screen au besoin sinon dans un script.sh :
> 
> #!/bin/bash
> while true; do
> top -b -n1 | head -n15
> netstat -tanpu|grep ":80 "|awk {'print $5'}|sort|uniq -c
> sleep 15
> done

ça donne ceci toutes les 15 secondes :

root at abrasd03:~# ./script.sh
top - 12:31:20 up 54 min,  1 user,  load average: 0.03, 0.15, 0.59
Tasks:  86 total,   1 running,  85 sleeping,   0 stopped,   0 zombie
Cpu(s):  8.9%us,  1.8%sy,  6.2%ni, 78.6%id,  4.3%wa,  0.0%hi,  0.1%si, 
0.0%st
Mem:    997120k total,   302740k used,   694380k free,    15072k buffers
Swap:  1172736k total,    68516k used,  1104220k free,   112684k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    1 root      20   0  2844  432  380 S  0.0  0.0   0:01.50 init
    2 root      15  -5     0    0    0 S  0.0  0.0   0:00.00 kthreadd
    3 root      RT  -5     0    0    0 S  0.0  0.0   0:00.00 migration/0
    4 root      15  -5     0    0    0 S  0.0  0.0   0:00.03 ksoftirqd/0
    5 root      RT  -5     0    0    0 S  0.0  0.0   0:00.00 watchdog/0
    6 root      15  -5     0    0    0 S  0.0  0.0   0:00.03 events/0
    7 root      15  -5     0    0    0 S  0.0  0.0   0:00.01 khelper
   41 root      15  -5     0    0    0 S  0.0  0.0   0:00.03 kblockd/0
      1 0.0.0.0:*
      1 192.168.168.251:49024

le screen ? Je récupère la session, ou l'affichage, même après reboot ?
Jamais essayé de rebooter avec un screen actif...

> puis lance (sous root) un : nohup ./script.sh >> /root/log &

ok ça tourne.
/root/log se rempli correctement toutes les 15 secondes.

> Ça va balancer dans le fichier log les infos utiles toutes les
> 15 secondes. Il n'y aura plus qu'à lire le fichier après un
> nouveau plantage.

oui... car j'ai encore eu un autre plantage,
et je n'avais pas eu le temps de mettre le script hier soir :-(

> 
> > Dans les logs :
> > 
> > dans /log/apache2/access.log.1
> > 
> > localhost - - [06/Jan/2008:15:35:21 +0100] "GET /server-status?auto 
> 
> 06/Jan/2008, vieux :) tu n'as pas de fichier 
> /log/apache2/access.log ?
> 
> > HTTP/1.1" 200 299 "-" "libwww-perl/5.805"
> ../..
> > Pas évident de s'y retrouver dans les logs... 
> > Les logs d'Apache2 lui-même ? Ceux du domaine (je les ai séparé) ?
> > d'accès ou d'erreur ?
> 
> On ne sait pas d'où ça vient donc à priori tous... Tu peux 
> t'aider de grep pour la date et l'heure.

Merci,

Je donne des infos si ça replante ;-)

-- 
Didier

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: </pipermail/linux-bruxelles/attachments/20090624/65bb44d5/attachment-0002.html>