Attaque sur mon dédiée ovh

[kapaza]

Bonjour
depuis quelques jours mon site web rend complètement mon serveur off j'ai un gentoo release 2 (dédié SP 16G)

j'ai du protéger le répertoire /home/www/cpourtoi par login et mot de passe pour que ça revient au normal et que mes autres sites peuvent fonctionner!!!

je pense être victime d'une attaque dos sur un de mes sites web!
parce qu’en tapant la commande Top en ssh voila ce que j'obtient:

top - 22:10:53 up  1:03,  1 user,  load average: 7.02, 4.14, 4.16
Tasks: 411 total,  11 running, 391 sleeping,   0 stopped,   9 zombie
Cpu(s): 88.4% us,  7.7% sy,  0.0% ni,  3.7% id,  0.0% wa,  0.0% hi,  0.2% si
Mem:  16327796k total,  3645432k used, 12682364k free,    42812k buffers
Swap:  1046520k total,        0k used,  1046520k free,   355884k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
17618 mysql     20   0  144m  49m 5164 S   49  0.3  10:58.48 mysqld
11846 cpourtoi  20   0     0    0    0 Z    7  0.0   0:00.20 php <defunct>
11849 cpourtoi  20   0     0    0    0 Z    7  0.0   0:00.20 php <defunct>
11882 cpourtoi  20   0     0    0    0 Z    6  0.0   0:00.19 php <defunct>
11816 cpourtoi  20   0 92032  29m 6920 R    5  0.2   0:00.14 php
11864 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.12 php
11902 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.12 php
11916 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.12 php
11796 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11800 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11802 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11808 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11810 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11814 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11823 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11824 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11835 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11837 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11839 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php
11842 cpourtoi  20   0 88652  26m 6908 S    4  0.2   0:00.11 php

Dans le fichier /home/log/httpd/error_log je peux lire cette erreur:
[Thu Jan 03 20:48:18 2013] [error] server reached MaxClients setting, consider raising the MaxClients setting

Depuis le manager d'ovh RTM données archivées pour 2013-01-03 20:58:00

Memory usage - top 5 processes
Process name Memory size [kB]
1. /usr/sbin/clamd 296696
2. /usr/sbin/mysqld --defaults-file?/etc/mysql/my.cnf --basedir?/usr --datadir?/var/lib/mysql --pid-file?/var/run/mysqld/mysqld.pid --socket?/var/run/mys 116664
3. /usr/local/php5/bin/php 87596
4. /usr/local/php5/bin/php 91252
5. /usr/local/php5/bin/php

Utilisation du Serveur
Charge CPU : 96 %
Charge RAM : 20 %
Charge SWAP : 0 %

Utilisation disque dur
[ / ] : 14 %
[ /home ] : 3 %

Processus du serveur
Charge moyenne ( loadavg1 ) : 9.23
Charge moyenne ( loadavg2 ) : 7.09
Charge moyenne ( loadavg3 ) : 3.77
Processus actif(s) ( loadactive ) : 5
Processus démarré(s) ( loadup ) : 421

j'ai pu ouvrir le fichier /home/log/httpd/cpourtoi-access_log à l'aide de notepad
apparament il ya une grande masse de requêtes de recherches instantannées sur le site et avec de mots clés arbitraires (des numéros) avec plusieurs ip

197.27.29.174 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1380202261&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
41.230.231.191 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1797891321&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.2.34.36 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=942539628&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.2.14.165 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=106865612&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.2.14.127 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1026838425&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.31.113.213 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1103271613&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.5.8.161 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=406063149&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
151.66.100.25 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=610402753&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
79.81.79.234 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=52443512&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.31.73.220 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1145092362&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.15.61.198 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=795372946&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.27.6.130 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1528833769&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
41.224.99.24 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=134277699&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"
197.31.201.84 - - [03/Jan/2013:22:02:20 +0100] "GET /petites-annonces/bonnes-affaires?text_search=1943341315&order=10&expand=0 HTTP/1.1" 401 518 "-" "Wget"

pouvez vous m'aider à comprendre l'origine de cette attaque?
serait -il possible de déterminer l'ip de la machine attaquante??


merci

 

[Bool]

mmm tu as posté sur le forum OVH et sur le forum du Hub. Dois-je à nouveau répondre ici ?

pour résumer ce qu'on trouve parmis les autres réponses :
- IP tunisiennes uniquement. Normal ou pas ? A toi de nous le dire
- c'est «simplement» des aspirations via Wget. Tu peux les bloquer facilement via une règle .htaccess
- de manière générale, avec le module fCGI tu pourrais bien mieux cloisonner tes sites, afin d'éviter qu'un site (ou une partie d'un site) bloque les autres

 

[kapaza]

mmm tu as posté sur le forum OVH et sur le forum du Hub. Dois-je à nouveau répondre ici ?

pour résumer ce qu'on trouve parmis les autres réponses :
- IP tunisiennes uniquement. Normal ou pas ? A toi de nous le dire
- c'est «simplement» des aspirations via Wget. Tu peux les bloquer facilement via une règle .htaccess
- de manière générale, avec le module fCGI tu pourrais bien mieux cloisonner tes sites, afin d'éviter qu'un site (ou une partie d'un site) bloque les autres

oui j'ai posté sur le forum ovh, mais j'ai bien reçu à la fin une réponse désespérante (qu'il faudra une affaire
criminelle pour déterminer l'ip de la machine attaquante).

c'est «simplement» des aspirations via Wget

comment des aspirations avec plusieurs ip différents en même temps? (trop de demandes de recherche simultanées)

avec le module fCGI

comment puis je installer (activer) ce module?

merci quand même pour m'avoir bien rassurer.

 

[Bool]

Pour ce qui est du coté juridique, je ne saurais dire... tu peux peut-être demander plus de détail à cassiopee justement.

Quant à l'utilisation de Wget, oui... maintenant il est peut-être utilisé à de mauvaises fins ici, mais dans ce cas soit l'attaquant n'a pas un niveau très élevé, soit au contraire il te teste pour voir si tu sauras réagir Commence par bloquer Wget, on verra après.

Pour ce qui est de l'installation & configuration de fCGI, sur la distrib bricolée par OVH je ne saurais vraiment pas dire. Je laisse la main à d'autres pour ça. Après le paramètre important ici serait DefaultMaxClassProcessCount, te permettant de limiter le nombre d'instances de PHP par site/section. L'autre aspect sympatique, c'est que tu peux en profiter pour bazarder le vieux MPM-Prefork d'Apache au profit d'un MPM-Event par exemple, nettement plus véloce.

 

[_Soul]

C'est sql qui prend toutes les ressources, c'est pas une DOS. Un spider mangerais pas autant de ressource ou ton site est mal coder. Reboot ta BDD