[Admin-ml] Mon serveur apache est un zombie

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Mer 27 Mai 14:25:06 CEST 2009


Le 27 mai 09 à 12:31, Fabrice Vincent a écrit :
>> Je remets donc en service en dernier le serveur Web, pour constater
>> que c'est lui le coupable. la bande passante du serveur n'était pas
>> surmenée (450 Ko/s), mais c'était bien celui.
> 450Ko/s c'est pas anodin, ça fait grosso modo dans les 4,5 Mb/s...
>
> NB: Pour convertir les ko/s en Mb/s j'utilise toujours l'approximation
> suivante: 1 octet = 8 bits, tu rajoutes à la louche 2 bits  
> "d'embalage" pour
> les différents niveaux d'encapsulation TCP/IP+ethernet. Au final ça  
> te fait
> un x10 facile à calculer et qui donne une approximation assez  
> réaliste...
>
oui, je sais, mais sur le coup, je me suis pas inquiété, vu que le  
serveur est serveur mail et dns pour l'ensemble des sites, et que mon  
site intra est dessus.
en réalité, c'est vrai qu'au vu de l'activité de ce serveur, c'est  
considérable.
mais bon sur le coup, c'est pas évident d'être complètement rationnel,  
surtout quand la horde des users t'harcèlent de coups de fils, de  
mails et débarquent dans le bureau pour se plaindre.
vous savez de quoi je cause.
>> Je crois que mon serveur est un zombie (une bonne histoire fait
>> toujours un peu peur).
>> Voila, belle histoire non ?
>>
>> bon je sors de mon délire post-natal et reviens aux choses  
>> sérieuses :
>> Je n'ai jamais été confronté à un problème de sécurité sur un serveur
>> apache-php. Je pense qu'un petit malin à trouvé un moyen d'utiliser
>> mon serveur, pour faire transiter des connexions peu avouables, que  
>> je
>> pensais protégé par le firewall de mon prestataire.
>> J'en appelle à vous pour savoir si vous disposez d'une procédure de
>> contrôle et de sécurisation du serveur, car j'avoue que je ne sais  
>> pas
>> par quel bout commencer (si ce n'est par Google).
>>
> Procédons par ordre: T'es sur quelle version d'OSX ?
OS X.4.11
>
>
> Quel est la position de ton serveur dans ton réseau: il est dans le  
> LAN,
> dans une DMZ, ou bien il fait routeur NAT, etc.. ???
dans le lan. redirection depuis l'adresse ip publique vers l'ip  
interne. leur pix ne fait pas apparemment pas d'analyse de flux.
>
>
> Et utilises tu la fonction proxy de Apache (vu les logs je dirais  
> oui...)?
le mod_proxy d'apache était actif.
>
> Si oui, as tu restreins l'utilisation du proxy à ton réseau interne?
non.
>
> NB: je n'utilise pas cette fonctionnalité, donc je la connais peu...
idem.
>
>
> Personnellement je ne crois pas trop à un script web dont des pirates
> exploiterai une faille: si c'était le cas, les logs indiqueraient  
> des accès
> à ce scripts, pas des accès aux sites distants visités...
> Et si des pirates avaient trouvé un moyen pour ouvrir une session  
> sur ton
> serveur, tu ne verrais rien dans les logs apache...
C'est ce que je pense aussi : depuis que je l'ai coupé, plus de  
problèmes. si un pirate était rentré (avec des droits d'admin), il  
s'amuserait à relancer le service.
>
>
> Quoiqu'il en soit, pour gérer l'urgence et libérer ta bande  
> passante, t'es
> il possible de bloquer ou faire bloquer les connexions http et https
> sortants de ton serveur (en laissant les connexion entrantes pour  
> garder ton
> site web disponible) ?
mmm, ça ne me semble pas une solution idéale, puisque la passerelle  
utilisée est sur la boucle VPN, donc les liens directs avec la boucle  
continueront d'être saturés.
Plus simple pour l'instant, j'ai désactivé le site répondant au port  
80 de l'adresse ip publique, qui n'est qu'un miroir de celui hébergé  
par mon provider.
>
> Si ton serveur est aussi routeur Nat, ça va pas être simple...
ce n'est pas le cas.
>
>
> Allez, il faut une happy end à ton histoire...   ;)
Ben oui, j'y crois pour l'instant.

Merci
>
>
> A+
> Fabrice
>
>
>
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>




Plus d'informations sur la liste de diffusion Admin-ml