[Admin-ml] Mon serveur apache est un zombie

Fabrice Vincent f.vincent at allibert-trekking.com
Mer 27 Mai 12:31:18 CEST 2009


> Une petite histoire pour endormir vos enfants :
Très belle histoire, mais la conclusion n'est pas très glops...  ;o)

> Je remets donc en service en dernier le serveur Web, pour constater
> que c'est lui le coupable. la bande passante du serveur n'était pas
> surmenée (450 Ko/s), mais c'était bien celui.
450Ko/s c'est pas anodin, ça fait grosso modo dans les 4,5 Mb/s...

NB: Pour convertir les ko/s en Mb/s j'utilise toujours l'approximation
suivante: 1 octet = 8 bits, tu rajoutes à la louche 2 bits "d'embalage" pour
les différents niveaux d'encapsulation TCP/IP+ethernet. Au final ça te fait
un x10 facile à calculer et qui donne une approximation assez réaliste...

> Je crois que mon serveur est un zombie (une bonne histoire fait
> toujours un peu peur).
> Voila, belle histoire non ?
> 
> bon je sors de mon délire post-natal et reviens aux choses sérieuses :
> Je n'ai jamais été confronté à un problème de sécurité sur un serveur
> apache-php. Je pense qu'un petit malin à trouvé un moyen d'utiliser
> mon serveur, pour faire transiter des connexions peu avouables, que je
> pensais protégé par le firewall de mon prestataire.
> J'en appelle à vous pour savoir si vous disposez d'une procédure de
> contrôle et de sécurisation du serveur, car j'avoue que je ne sais pas
> par quel bout commencer (si ce n'est par Google).
> 
Procédons par ordre: T'es sur quelle version d'OSX ?

Quel est la position de ton serveur dans ton réseau: il est dans le LAN,
dans une DMZ, ou bien il fait routeur NAT, etc.. ???

Et utilises tu la fonction proxy de Apache (vu les logs je dirais oui...)?
Si oui, as tu restreins l'utilisation du proxy à ton réseau interne?
NB: je n'utilise pas cette fonctionnalité, donc je la connais peu...

Personnellement je ne crois pas trop à un script web dont des pirates
exploiterai une faille: si c'était le cas, les logs indiqueraient des accès
à ce scripts, pas des accès aux sites distants visités...
Et si des pirates avaient trouvé un moyen pour ouvrir une session sur ton
serveur, tu ne verrais rien dans les logs apache...

Quoiqu'il en soit, pour gérer l'urgence et libérer ta bande passante, t'es
il possible de bloquer ou faire bloquer les connexions http et https
sortants de ton serveur (en laissant les connexion entrantes pour garder ton
site web disponible) ?
Si ton serveur est aussi routeur Nat, ça va pas être simple...

Allez, il faut une happy end à ton histoire...   ;)

A+
Fabrice








Plus d'informations sur la liste de diffusion Admin-ml