[Linux-bruxelles] Comment je me protège contre ça ? (DOS saturation mémoire Apache)

Didier Misson didier.linux at gmail.com
Ven 11 Sep 00:42:23 CEST 2009 

Hello,

J'ai déjà parlé de mes problèmes serveurs
mais vraiment pas eu assez de temps pour suivre tout ça !


Ubuntu 8.04 Server.

Ca plante, par saturation, plus de mémoire, ça swap et finalement ça
éjecte des tâches... et reste plus que le reboot hardware !

J'ai pensé un moment que mon WordPress était hacké :
il y a eu des grosses failles de sécurité dans les WP < 2.8.4
mais j'ai mis à jour rapidement en 2.8.4 quand cette version est sortie,
en tout cas pour mon blog...
Pour les 3 blogs des enfants, j'avoue avoir laissé ça de côté :-(
Ils sont très peu utilisés...

J'ai cherché hier dans les DB (après avoir upgradé tout ce qui trainait
encore), et je n'ai pas trouvé trace du worm qui a infecté certains
blogs WordPress.
Je pense que ce n'est pas ça le problème.

J'ai supprimé les choses inutiles, et ce matin, encore planté !

J'avais fait tourné le script que j'avais reçu sur cette ML
(merci merci).

Le script sauve toutes les 15 secondes les sessions Apache2
Voici ce que ça donne :

Je mets le fichier compressé.

En résumé : UNE adresse IP atteint en qques dizaines de secondes 92
requètes HTTP simultanée sur mon serveur !

Apache bouffe la mémoire (je suppose) et le serveur s'écroule...

En général, quand je redémarre le serveur complètement bloqué (reset),
j'ai plusieurs messages à l'écran "kill" par manque de mémoire...
souvent MySQL se fait éjecter comme ça !

Bon !

C'est ENCORE GAZ de FRANCE !!!


$ whois 83.137.240.218
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '83.137.240.0 - 83.137.241.255'

inetnum:      83.137.240.0 - 83.137.241.255
netname:      NET-GAZDEFRANCE1
descr:        Gaz de France Network Infrastructures
country:      FR
org:          ORG-GdF1-RIPE
admin-c:      GDFA-RIPE
tech-c:       GDFT-RIPE
status:       ASSIGNED PA
mnt-by:       MNT-GDF
mnt-domains:  MNT-GDF
mnt-routes:   MNT-GDF
source:       RIPE # Filtered

organisation:   ORG-GdF1-RIPE
org-name:       Gaz de France
org-type:       LIR
address:        Gaz de France
                Direction de la Recherche, DETI - PAS
                361, avenue du President Wilson
                93211 Saint-Denis La Plaine Cedex
                FRANCE
phone:          +33 1 49 22 54 78
fax-no:         +33 1 49 22 87 69
e-mail:         dr-lir at gazdefrance.com
admin-c:        EH-RIPE
admin-c:        GDFC1-RIPE
admin-c:        GDFC2-RIPE
admin-c:        PFD-RIPE
admin-c:        POB-RIPE
mnt-ref:        MNT-GDF
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
source:         RIPE # Filtered

role:           GDF Admin Contact
address:        Gaz de France - Direction de la Recherche
address:        DETI - PAS
address:        361 avenue du President Wilson - BP 33
address:        93211 Saint-Denis La Plaine Cedex
address:        France
e-mail:         DR-RIPE at gazdefrance.com
org:            ORG-GdF1-RIPE
admin-c:        POB-RIPE
admin-c:        EH-RIPE
tech-c:         GDFT-RIPE
nic-hdl:        GDFA-RIPE
mnt-by:         MNT-GDF
remarks:        Administrative Contacts for Gaz de France
source:         RIPE # Filtered

role:           GDF Tech Contact
address:        Gaz de France - Direction de la Recherche
address:        DETI - PAS
address:        361 avenue du President Wilson - BP 33
address:        93211 Saint-Denis La Plaine Cedex
address:        France
e-mail:         DR-RIPE at gazdefrance.com
org:            ORG-GdF1-RIPE
admin-c:        GDFA-RIPE
tech-c:         POB-RIPE
tech-c:         EH-RIPE
nic-hdl:        GDFT-RIPE
mnt-by:         MNT-GDF
remarks:        Technical Contacts for Gaz de France
source:         RIPE # Filtered






On avait déjà identifié GDF la fois passée...

- est-ce vraiment GDF ? ou l'attaque pourrait-elle venir d'une autre
adresse IP en mettant une adresse bidon comme origine ?

Comme je fais ?

- pour bloquer ce genre d'attaque ?

- au niveau d'Apache ? au niveau système ? au niveau "firewall" ?

- pour porter plainte contre GDF ? ... euh... bonne idée ou pas ?


Marre d'avoir mon serveur qui se casse la g... malgré les mises à jour

Merci ;-)


-- 
Didier

http://misson.tel  Annuaire Misson
http://drupal.tel  Annuaire Drupal


-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: log_20090910_end.txt.gz
Type: application/x-gzip
Taille: 4278 octets
Desc: non disponible
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20090911/3ca530b0/attachment-0001.bin>

Plus d'informations sur la liste de diffusion Linux-bruxelles