[Admin-ml] Mon serveur apache est un zombie

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Mar 26 Mai 22:16:13 CEST 2009


Bonsoir,

Une petite histoire pour endormir vos enfants :
Il y a quelques jours, je rencontre des difficultés pour relever mes  
mails depuis mon iphone, c'était mercredi dernier. Occupé que je suis  
à emmener ma douce à la maternité, histoire d'agrandir la famille,  
j'incrimine le dit périphérique.
Les jours suivants, encore plus occupé que ce mercredi, je constate  
des lenteurs, et des timeout à la relève du courrier depuis mon Mac.  
Soupçonnant un dossier imap frustré d'être manipulé sauvagement par  
divers moyens, je répare celui-ci (merci aux scripts de  
osx.topicdesk.com, mailbfr). la relève s'effectuant normalement au  
cours de la soirée, j'ai trouvé mon coupable et je m'acharne pas.  
Cependant, le lendemain, mon cerbère, nourri à coup de nagios, de  
centreon et de cacti s'allume comme un sapin de Noêl (les enfants  
adorent les contes de Noël), et m'avertit tel un spammeur qu'il  
subsiste un petit problème auquel je n'avais pas pensé : mon réseau  
vpn s'est effondré.
Impossible de relever les courriers, de consulter le site web, des  
latences sur tout le VPN…
Ce lundi très tôt, je constate cela et désigne comme coupable idéal  
mon prestataire de service.
Rien n'indique à priori, sur le réseau lui-même, un quelconque  
problème mettant en cause notre infrastructure : contrôle des  
serveurs, de la commutation, tests des services opérationnels.
Ignorant les conditions de prestations dont on nous fait un bel  
emballage pour nous vendre le VPN, à savoir la proactivité du NOC et  
la GTR, mon prestataire met jusqu'en fin de journée (d'aujourd'hui)  
pour me permettre de m'entretenir avec un lutin des routeurs (je  
remets un peu de fantaisie, les enfants vont s'ennuyer), et nous  
détectons en 3 minutes que le problème provient de mon réseau, la  
bande passante étant collée au taquet.
Je redémarre dans le doute mon serveur de mail-web et m'aperçoit  
aussitôt du rétablissement de temps de latence normaux.
Procédant par élimination, j'éteins progressivement tous les  
services : mail, web, ftp, qtss… et les remets en route les uns après  
les autres, un oeil sur les graphes de bande passante.
Je remets donc en service en dernier le serveur Web, pour constater  
que c'est lui le coupable. la bande passante du serveur n'était pas  
surmenée (450 Ko/s), mais c'était bien celui.
je jette ensuite un coup d'oeil aux logs, qui ne laissent rien  
présager de bon. les logs du site principal pèsent 1,5 Go, pourtant en  
rotation hebdomadaire.
j'y trouve une littérature peu engageante, dont voici un extrait  
(Lisez-leur cela jusqu'au bout, cela les endort à coup sûr) :

87.106.90.99 - - [26/May/2009:19:46:43 +0200] "CONNECT login.icq.com: 
443 HTTP/1.0" 405 301
93.217.238.81 - - [26/May/2009:19:46:43 +0200] "GET http://members.sexy-babes.tv/ 
  HTTP/1.1" 200 1691)
222.77.182.220 - - [26/May/2009:19:46:43 +0200] "GET http://www.fjrenyu.cn 
  HTTP/1.1" 200 16910
93.217.238.81 - - [26/May/2009:19:46:43 +0200] "GET http://members.sexy-babes.tv/ 
  HTTP/1.1" 200 16910
222.77.182.220 - - [26/May/2009:19:46:44 +0200] "GET http://www.fjrenyu.cn 
  HTTP/1.1" 200 16910
95.133.241.109 - - [26/May/2009:19:46:44 +0200] "CONNECT  
64.12.200.89:443 HTTP/1.0" 405 300
222.77.182.220 - - [26/May/2009:19:46:44 +0200] "GET http://www.fjrenyu.cn 
  HTTP/1.1" 200 16910
222.77.182.220 - - [26/May/2009:19:46:44 +0200] "GET http://www.fjrenyu.cn 
  HTTP/1.1" 200 16910
222.77.182.212 - - [26/May/2009:19:46:44 +0200] "GET http://121.12.125.133:9958 
  HTTP/1.1" 200 16910
58.88.218.193 - - [26/May/2009:19:46:44 +0200] "GET http://www.cybercity.co.jp/wad/mdz/ 
  HTTP/1.0" 404 -
85.173.26.196 - - [26/May/2009:19:46:44 +0200] "CONNECT login.icq.com: 
443 HTTP/1.0" 405 301
67.80.129.63 - - [26/May/2009:19:46:44 +0200] "CONNECT  
64.12.163.133:443 HTTP/1.0" 405 301
203.200.111.154 - - [26/May/2009:19:46:44 +0200] "CONNECT  
205.188.251.26:443 HTTP/1.0" 405 302
60.50.215.148 - - [26/May/2009:19:46:44 +0200] "GET http://l05.member.kr3.yahoo.com/config/isp_verify_user?&l=emci_&p=zippo 
  HTTP/1.0" 404 -
203.200.111.154 - - [26/May/2009:19:46:44 +0200] "CONNECT  
64.12.200.89:443 HTTP/1.0" 405 300
221.229.216.77 - - [26/May/2009:19:46:44 +0200] "GET http://www.newsitehits.com/index.php?id=xzdjm 
  HTTP/1.0" 404 -
67.88.192.2 - - [26/May/2009:19:46:44 +0200] "CONNECT  
205.188.251.36:443 HTTP/1.0" 405 302
61.160.212.79 - - [26/May/2009:19:46:44 +0200] "GET http://ad2games.com/slave.php?w=5095_1649450156 
  HTTP/1.0" 404 -

Je crois que mon serveur est un zombie (une bonne histoire fait  
toujours un peu peur).
Voila, belle histoire non ?

bon je sors de mon délire post-natal et reviens aux choses sérieuses :  
Je n'ai jamais été confronté à un problème de sécurité sur un serveur  
apache-php. Je pense qu'un petit malin à trouvé un moyen d'utiliser  
mon serveur, pour faire transiter des connexions peu avouables, que je  
pensais protégé par le firewall de mon prestataire.
J'en appelle à vous pour savoir si vous disposez d'une procédure de  
contrôle et de sécurisation du serveur, car j'avoue que je ne sais pas  
par quel bout commencer (si ce n'est par Google).

Bonne soirée,

et Bonne nuit aux Petits.

Jean-Luc





Plus d'informations sur la liste de diffusion Admin-ml