[Linux-bruxelles] faille Apache2 ? ... DOS attack : le LOG !
Didier Misson
didier.linux at gmail.com
Ven 26 Juin 21:12:22 CEST 2009
Bruno a écrit :
> passe par un screen au besoin sinon dans un script.sh :
>
> #!/bin/bash
> while true; do
> top -b -n1 | head -n15
> netstat -tanpu|grep ":80 "|awk {'print $5'}|sort|uniq -c
> sleep 15
> done
>
> puis lance (sous root) un : nohup ./script.sh >> /root/log &
>
> Ça va balancer dans le fichier log les infos utiles toutes les
> 15 secondes. Il n'y aura plus qu'à lire le fichier après un
> nouveau plantage.
> On ne sait pas d'où ça vient donc à priori tous... Tu peux
> t'aider de grep pour la date et l'heure.
Bonsoir Bruno ( et tout le monde :p )
PLANTE !!! ... ENFIN :p)
car depuis que j'avais mis le script, plus de plantage...
Et ce soir, le serveur (Ubuntu 8.04, Celeron 1.2 GHz 1GB DDR) est
bloqué. Il répond encore aux pings, mais c'est tout.
Je le reboot, et je vais voir la fin du fichier log généré par ton script.
Ce que j'analyse, sans être spécialiste, c'est bcp de sessions venant
d'une même IP, en même temps qu'une forme augmentation de la
consommation SWAP !
Plus de 1GB de swap... je suppose que c'est ça qui le rend hyper lent
Au début, j'ai 99 MB de swap utilisés
au dernier message, j'ai 1165 MB de swap !
(je rappelle que la Ram sur ce serveur est de 1 GB en DDR)
ça, ça ne pardonne pas ! (le load et la swap utilisée)
top - 18:42:25 up 2 days, 7:05, 0 users, load average: 81.59, 44.78,
19.20
Tasks: 176 total, 1 running, 175 sleeping, 0 stopped, 0 zombie
Cpu(s): 7.7%us, 2.0%sy, 7.5%ni, 79.7%id, 2.9%wa, 0.0%hi, 0.2%si,
0.0%st
Mem: 997120k total, 986032k used, 11088k free, 1328k buffers
Swap: 1172736k total, 1165572k used, 7164k free, 22452k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
150 root 15 -5 0 0 0 D 1.0 0.0 0:55.25 kswapd0
28675 www-data 20 0 46460 4064 3408 D 1.0 0.4 0:01.30 apache2
28691 www-data 20 0 46460 12m 3504 D 1.0 1.3 0:01.60 apache2
28861 www-data 20 0 45692 23m 3332 D 1.0 2.4 0:01.07 apache2
29047 root 20 0 2304 1052 760 R 1.0 0.1 0:00.02 top
1 root 20 0 2844 348 344 S 0.0 0.0 0:01.51 init
2 root 15 -5 0 0 0 S 0.0 0.0 0:00.00 kthreadd
3 root RT -5 0 0 0 S 0.0 0.0 0:00.00 migration/0
1 0.0.0.0:*
1 141.227.1.2:54000
1 141.227.1.2:58415
1 192.54.193.25:49397
1 192.54.193.25:50108
1 192.54.193.25:52726
1 192.54.193.25:52915
1 192.54.193.25:53665
1 192.54.193.25:54305
1 192.54.193.25:55586
1 192.54.193.25:56533
1 192.54.193.25:57828
1 192.54.193.25:58109
1 192.54.193.25:58263
1 192.54.193.25:58333
1 192.54.193.25:59164
1 192.54.193.25:59952
1 192.54.193.25:60099
1 192.54.193.25:61216
1 192.54.193.25:61689
1 192.54.193.25:62044
1 192.54.193.25:62103
1 192.54.193.25:62162
1 192.54.193.25:63489
1 192.54.193.25:64461
1 196.217.29.171:26252
1 65.55.211.174:28882
1 65.55.211.184:41734
1 72.14.199.123:60568
1 72.30.78.223:37810
1 72.30.78.223:60588
1 74.6.8.93:38490
1 74.6.8.93:38949
1 74.6.8.93:42355
1 74.6.8.93:43377
1 74.6.8.93:44564
1 74.6.8.93:45610
1 82.225.251.26:51246
Je vois que le cpu reste faible !
Le problème c'est la consommation mémoire, ce qui provoque un énorme
swap, et donc le serveur ne répond pratiquement plus...
Les 2500 dernières lignes du log (tar.gz) se trouve ici :
http://didier.misson.net/blog/wp-content/uploads/log_end2500_20090626.tar.gz
Voilà, si vous avez des idées, si vous voyez plus de choses que moi ?
En attendant, je vois qu'il y a une mise à jour Apache. Je vais
évidemment la faire ;-)
Merci d'avance.
--
Didier
http://misson.tel Annuaire Misson
http://drupal.tel Annuaire Drupal
http://www.les-objets-de-maman.be : objets, meubles et tableau à vendre
http://gallery.les-objets-de-maman.be : les photos des objets
Plus d'informations sur la liste de diffusion Linux-bruxelles