Attaque sur mon dédiée ovh

Discussion dans 'Administration d'un site Web' créé par kapaza, 5 Janvier 2013.

Tags:
  1. kapaza
    kapaza Nouveau WRInaute
    Inscrit:
    21 Décembre 2012
    Messages:
    7
    J'aime reçus:
    0
    Bonjour
    depuis quelques jours mon site web rend complètement mon serveur off j'ai un gentoo release 2 (dédié SP 16G)

    j'ai du protéger le répertoire /home/www/cpourtoi par login et mot de passe pour que ça revient au normal et que mes autres sites peuvent fonctionner!!!

    je pense être victime d'une attaque dos sur un de mes sites web!
    parce qu’en tapant la commande Top en ssh voila ce que j'obtient:

    Code:
    top - 22:10:53 up  1:03,  1 user,  load average: 7.02, 4.14, 4.16
    Tasks: 411 total,  11 running, 391 sleeping,   0 stopped,   9 zombie
    Cpu(s): 88.4% us,  7.7% sy,  0.0% ni,  3.7% id,  0.0% wa,  0.0% hi,  0.2% si
    Mem:  16327796k total,  3645432k used, 12682364k free,    42812k buffers
    Swap:  1046520k total,        0k used,  1046520k free,   355884k cached
    
      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    17618 mysql     20   0  144m  49m 5164 S   49  0.3  10:58.48 mysqld
    11846 cpourtoi  20   0     0    0    0 Z    7  0.0   0:00.20 php <defunct>
    11849 cpourtoi  20   0     0    0    0 Z    7  0.0   0:00.20 php <defunct>
    11882 cpourtoi  20   0     0    0    0 Z    6  0.0   0:00.19 php <defunct>
    11816 cpourtoi  20   0 92032  29m 6920 R    5  0.2   0:00.14 php
    11864 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.12 php
    11902 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.12 php
    11916 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.12 php
    11796 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11800 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11802 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11808 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11810 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11814 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11823 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11824 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11835 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11837 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11839 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    11842 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
    
    
    Dans le fichier /home/log/httpd/error_log je peux lire cette erreur:
    [Thu Jan 03 20:48:18 2013] [error] server reached MaxClients setting, consider raising the MaxClients setting

    Depuis le manager d'ovh RTM données archivées pour 2013-01-03 20:58:00

    Memory usage - top 5 processes
    Process name Memory size [kB]
    1. /usr/sbin/clamd 296696
    2. /usr/sbin/mysqld --defaults-file?/etc/mysql/my.cnf --basedir?/usr --datadir?/var/lib/mysql --pid-file?/var/run/mysqld/mysqld.pid --socket?/var/run/mys 116664
    3. /usr/local/php5/bin/php 87596
    4. /usr/local/php5/bin/php 91252
    5. /usr/local/php5/bin/php

    Utilisation du Serveur
    Charge CPU : 96 %
    Charge RAM : 20 %
    Charge SWAP : 0 %

    Utilisation disque dur
    [ / ] : 14 %
    [ /home ] : 3 %

    Processus du serveur
    Charge moyenne ( loadavg1 ) : 9.23
    Charge moyenne ( loadavg2 ) : 7.09
    Charge moyenne ( loadavg3 ) : 3.77
    Processus actif(s) ( loadactive ) : 5
    Processus démarré(s) ( loadup ) : 421

    j'ai pu ouvrir le fichier /home/log/httpd/cpourtoi-access_log à l'aide de notepad
    apparament il ya une grande masse de requêtes de recherches instantannées sur le site et avec de mots clés arbitraires (des numéros) avec plusieurs ip :confused:

    Code:
    197.27.29.174 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1380202261&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    41.230.231.191 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1797891321&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.2.34.36 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=942539628&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.2.14.165 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=106865612&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.2.14.127 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1026838425&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.31.113.213 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1103271613&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.5.8.161 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=406063149&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    151.66.100.25 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=610402753&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    79.81.79.234 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=52443512&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.31.73.220 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1145092362&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.15.61.198 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=795372946&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.27.6.130 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1528833769&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    41.224.99.24 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=134277699&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
    197.31.201.84 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1943341315&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"

    pouvez vous m'aider à comprendre l'origine de cette attaque?
    serait -il possible de déterminer l'ip de la machine attaquante??


    merci
     
  2. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    mmm tu as posté sur le forum OVH et sur le forum du Hub. Dois-je à nouveau répondre ici ?

    pour résumer ce qu'on trouve parmis les autres réponses :
    - IP tunisiennes uniquement. Normal ou pas ? A toi de nous le dire
    - c'est «simplement» des aspirations via Wget. Tu peux les bloquer facilement via une règle .htaccess
    - de manière générale, avec le module fCGI tu pourrais bien mieux cloisonner tes sites, afin d'éviter qu'un site (ou une partie d'un site) bloque les autres
     
  3. kapaza
    kapaza Nouveau WRInaute
    Inscrit:
    21 Décembre 2012
    Messages:
    7
    J'aime reçus:
    0
    oui j'ai posté sur le forum ovh, mais j'ai bien reçu à la fin une réponse désespérante (qu'il faudra une affaire
    criminelle pour déterminer l'ip de la machine attaquante).

    comment des aspirations avec plusieurs ip différents en même temps? (trop de demandes de recherche simultanées)


    comment puis je installer (activer) ce module?

    merci quand même pour m'avoir bien rassurer.
     
  4. Bool
    Bool WRInaute passionné
    Inscrit:
    26 Février 2004
    Messages:
    1 546
    J'aime reçus:
    0
    Pour ce qui est du coté juridique, je ne saurais dire... tu peux peut-être demander plus de détail à cassiopee justement.

    Quant à l'utilisation de Wget, oui... maintenant il est peut-être utilisé à de mauvaises fins ici, mais dans ce cas soit l'attaquant n'a pas un niveau très élevé, soit au contraire il te teste pour voir si tu sauras réagir ;) Commence par bloquer Wget, on verra après.

    Pour ce qui est de l'installation & configuration de fCGI, sur la distrib bricolée par OVH je ne saurais vraiment pas dire. Je laisse la main à d'autres pour ça. Après le paramètre important ici serait DefaultMaxClassProcessCount, te permettant de limiter le nombre d'instances de PHP par site/section. L'autre aspect sympatique, c'est que tu peux en profiter pour bazarder le vieux MPM-Prefork d'Apache au profit d'un MPM-Event par exemple, nettement plus véloce.
     
  5. _Soul
    _Soul WRInaute impliqué
    Inscrit:
    26 Avril 2011
    Messages:
    626
    J'aime reçus:
    0
    C'est sql qui prend toutes les ressources, c'est pas une DOS. Un spider mangerais pas autant de ressource ou ton site est mal coder. Reboot ta BDD
     
Chargement...
Similar Threads - Attaque dédiée ovh Forum Date
Attaque negative SEO provoque chute de 50% des impressions ? Référencement Google 31 Juillet 2020
Attaques sshd en masse : qui fait çà ? Administration d'un site Web 19 Mai 2020
La CNIL peut elle attaquer une entreprise pour non respect des recommandations de sécurité Droit du web (juridique, fiscalité...) 13 Janvier 2020
Nom de domaine attaqué / redirection Netlinking, backlinks, liens et redirections 17 Septembre 2019
Attaque negative seo : comment lutter ? Débuter en référencement 5 Avril 2019
Comment déréférencer des URL 404 (après attaque) Problèmes de référencement spécifiques à vos sites 27 Mars 2019
Attaque de type DDOS UDP sur un serveur VPS Administration d'un site Web 27 Novembre 2018
Attaque SEO ? Débuter en référencement 21 Août 2018
Suite à une attaque, plein d'URL à faire désindexer Netlinking, backlinks, liens et redirections 28 Mars 2018
"Attaques" de mon site (négatif SEO) Problèmes de référencement spécifiques à vos sites 16 Février 2018