[Linux-bruxelles] Comment je me protège contre ça ? (DOS saturation mémoire Apache)
Didier Misson
didier.linux at gmail.com
Ven 11 Sep 00:42:23 CEST 2009
Hello,
J'ai déjà parlé de mes problèmes serveurs
mais vraiment pas eu assez de temps pour suivre tout ça !
Ubuntu 8.04 Server.
Ca plante, par saturation, plus de mémoire, ça swap et finalement ça
éjecte des tâches... et reste plus que le reboot hardware !
J'ai pensé un moment que mon WordPress était hacké :
il y a eu des grosses failles de sécurité dans les WP < 2.8.4
mais j'ai mis à jour rapidement en 2.8.4 quand cette version est sortie,
en tout cas pour mon blog...
Pour les 3 blogs des enfants, j'avoue avoir laissé ça de côté :-(
Ils sont très peu utilisés...
J'ai cherché hier dans les DB (après avoir upgradé tout ce qui trainait
encore), et je n'ai pas trouvé trace du worm qui a infecté certains
blogs WordPress.
Je pense que ce n'est pas ça le problème.
J'ai supprimé les choses inutiles, et ce matin, encore planté !
J'avais fait tourné le script que j'avais reçu sur cette ML
(merci merci).
Le script sauve toutes les 15 secondes les sessions Apache2
Voici ce que ça donne :
Je mets le fichier compressé.
En résumé : UNE adresse IP atteint en qques dizaines de secondes 92
requètes HTTP simultanée sur mon serveur !
Apache bouffe la mémoire (je suppose) et le serveur s'écroule...
En général, quand je redémarre le serveur complètement bloqué (reset),
j'ai plusieurs messages à l'écran "kill" par manque de mémoire...
souvent MySQL se fait éjecter comme ça !
Bon !
C'est ENCORE GAZ de FRANCE !!!
$ whois 83.137.240.218
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '83.137.240.0 - 83.137.241.255'
inetnum: 83.137.240.0 - 83.137.241.255
netname: NET-GAZDEFRANCE1
descr: Gaz de France Network Infrastructures
country: FR
org: ORG-GdF1-RIPE
admin-c: GDFA-RIPE
tech-c: GDFT-RIPE
status: ASSIGNED PA
mnt-by: MNT-GDF
mnt-domains: MNT-GDF
mnt-routes: MNT-GDF
source: RIPE # Filtered
organisation: ORG-GdF1-RIPE
org-name: Gaz de France
org-type: LIR
address: Gaz de France
Direction de la Recherche, DETI - PAS
361, avenue du President Wilson
93211 Saint-Denis La Plaine Cedex
FRANCE
phone: +33 1 49 22 54 78
fax-no: +33 1 49 22 87 69
e-mail: dr-lir at gazdefrance.com
admin-c: EH-RIPE
admin-c: GDFC1-RIPE
admin-c: GDFC2-RIPE
admin-c: PFD-RIPE
admin-c: POB-RIPE
mnt-ref: MNT-GDF
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
role: GDF Admin Contact
address: Gaz de France - Direction de la Recherche
address: DETI - PAS
address: 361 avenue du President Wilson - BP 33
address: 93211 Saint-Denis La Plaine Cedex
address: France
e-mail: DR-RIPE at gazdefrance.com
org: ORG-GdF1-RIPE
admin-c: POB-RIPE
admin-c: EH-RIPE
tech-c: GDFT-RIPE
nic-hdl: GDFA-RIPE
mnt-by: MNT-GDF
remarks: Administrative Contacts for Gaz de France
source: RIPE # Filtered
role: GDF Tech Contact
address: Gaz de France - Direction de la Recherche
address: DETI - PAS
address: 361 avenue du President Wilson - BP 33
address: 93211 Saint-Denis La Plaine Cedex
address: France
e-mail: DR-RIPE at gazdefrance.com
org: ORG-GdF1-RIPE
admin-c: GDFA-RIPE
tech-c: POB-RIPE
tech-c: EH-RIPE
nic-hdl: GDFT-RIPE
mnt-by: MNT-GDF
remarks: Technical Contacts for Gaz de France
source: RIPE # Filtered
On avait déjà identifié GDF la fois passée...
- est-ce vraiment GDF ? ou l'attaque pourrait-elle venir d'une autre
adresse IP en mettant une adresse bidon comme origine ?
Comme je fais ?
- pour bloquer ce genre d'attaque ?
- au niveau d'Apache ? au niveau système ? au niveau "firewall" ?
- pour porter plainte contre GDF ? ... euh... bonne idée ou pas ?
Marre d'avoir mon serveur qui se casse la g... malgré les mises à jour
Merci ;-)
--
Didier
http://misson.tel Annuaire Misson
http://drupal.tel Annuaire Drupal
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: log_20090910_end.txt.gz
Type: application/x-gzip
Taille: 4278 octets
Desc: non disponible
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20090911/3ca530b0/attachment-0001.bin>
Plus d'informations sur la liste de diffusion Linux-bruxelles