[Linux-bruxelles] faille Apache2 ? ... DOS attack : le LOG !
Didier Misson
didier.linux at gmail.com
Ven 26 Juin 23:43:33 CEST 2009
Pierre Poissinger a écrit :
> 2009/6/26 Didier Misson <didier.linux at gmail.com
> <mailto:didier.linux at gmail.com>>
>
> Je vois que le cpu reste faible !
> Le problème c'est la consommation mémoire, ce qui provoque un énorme
> swap, et donc le serveur ne répond pratiquement plus...
>
>> load average: 81.59, 44.78, 19.20
> mouais - ton gars de EDF (192.54.193.25 - 27 connections) a l'air de
> faire des choses ole-ole sur ton serv,
ça je m'en doutais un peu que c'était pas trop catholique comme on dit :p)
EDF... ahhhh... et pendant les heures de boulot en plus ? ...
> t'as pas l'access log de apache
> histoire d'avoir une idee des requests?
vais voir ça !
> [ou alors 85.92.222.254 - un anglais mais il a une session et ne reste
> pas jusqu'au bout]
ça me semble plutôt être 192.54.193.25 qui em... le monde !
> a partir de 18:36:44 (a 18:37 la machine part en couille) - mysql
> s'enerve a 18:38:19 (67.9% cpu)
oui, effectivement !
le Load augmente en flèche à partir de 18h37, et la swap commence à
augmenter.
Probablement de grosses demandes sur le blog en WP,
mais vu les IP 192.54.193.25, l'attaque a bien commencé.
> On dirait qu'il spider ton site ?
càd ?
> btw - atop risque d'etre plus interessant car il permet le
> snapshot/replay des infos
> (http://www.atcomputing.nl/Tools/atop/)
connaissais pas atop...
(on apprend tous les jours)
ok, un "aptitude install atop" et ça roule
c'est quand même TRES COOL DEBIAN... euh... UBUNTU :p)
(je PEUX, on est vendredi)
;-)
> eg:
> # atop -w atop.log {interval - 10sec par def}
> et apres
> $ atop -a -m -M -r atop.log
c'est plus simple que le script que j'avais (qui était quand même pas mal !)
> par exemple
> ? pour l'aide
je regarderai le manpage, l'aide, le site etc, une autre fois.
Je vais au DrupalCamp demain et j'ai encore plein de choses à faire
(dont, dormir un peu...)
;-)
> --
>>>> horsemen = ['war', 'pestilence', 'famine']
>>>> horsemen.append('Powerbuilder')
>
--
Didier
http://misson.tel Annuaire Misson
http://drupal.tel Annuaire Drupal
Plus d'informations sur la liste de diffusion Linux-bruxelles