Comment interpréter une attaque apache ?
5 messages • Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
-
Topsitemaker - WRInaute impliqué
- Messages: 373
- Inscription: Dim Nov 19, 2006 0:47
Comment interpréter une attaque apache ?
le Mar Mar 13, 2007 22:38
Bonjour,
Un de mes serveurs subit une attaque DoS ou DDoS (enfin qui a toutes les caractéristiques c'est à dire envolée des process apache jusqu'au maxi, pareil pour 'Established TCP Connections' et baisse du 'TIME_WAIT TCP Connections' ) depuis quelques jours. Des fois c'est quelques minutes, des fois plusieurs heures.
J'ai server-status d'apache,
dès qu'une attaque est en cours
J'ai pleins de lignes comme cela
j'ai remplacé le nom du serveur par domain.com
je n'arrive pas à interpréter le "::1", normalement il y a l'IP et le port.
D'autre part, Je souhaite récupérer la preuve de l'attaque,
quelqu'un a-t-il un script qui permet de retenir ces "::1" car je ne les vois pas dans les logs apache.
Merci pour toutes réponses,
Un de mes serveurs subit une attaque DoS ou DDoS (enfin qui a toutes les caractéristiques c'est à dire envolée des process apache jusqu'au maxi, pareil pour 'Established TCP Connections' et baisse du 'TIME_WAIT TCP Connections' ) depuis quelques jours. Des fois c'est quelques minutes, des fois plusieurs heures.
J'ai server-status d'apache,
dès qu'une attaque est en cours
J'ai pleins de lignes comme cela
391-0 - 0/0/58 . 0.30 13561 8 0.0 0.00 0.27 ::1 domain.com GET /
392-0 - 0/0/160 . 0.49 13088 2 0.0 0.00 0.53 ::1 domain.com GET /
393-0 - 0/0/70 . 0.27 13448 4 0.0 0.00 0.07 ::1 domain.com GET /
394-0 - 0/0/322 . 1.73 12321 2048 0.0 0.00 0.54 ::1 domain.com GET /
395-0 - 0/0/107 . 0.53 13087 4 0.0 0.00 0.24 ::1 domain.com GET /
396-0 - 0/0/124 . 0.34 13487 7 0.0 0.00 0.26 ::1 domain.com GET /
j'ai remplacé le nom du serveur par domain.com
je n'arrive pas à interpréter le "::1", normalement il y a l'IP et le port.
D'autre part, Je souhaite récupérer la preuve de l'attaque,
quelqu'un a-t-il un script qui permet de retenir ces "::1" car je ne les vois pas dans les logs apache.
Merci pour toutes réponses,
- NextGeneration
- WRInaute impliqué
- Messages: 425
- Inscription: Mer Sep 27, 2006 18:34
le Mar Mar 13, 2007 23:44
Il me semble que "::1" est la contraction ipv6 de "127.0.0.1", ca voudrait dire que l'attaque est interne, donc que ton hébergeur a un de ses serveurs hacké
-
Topsitemaker - WRInaute impliqué
- Messages: 373
- Inscription: Dim Nov 19, 2006 0:47
le Mer Mar 14, 2007 13:56
D'accord,
C'est donc du spoof sur le localhost
J'ai mis le code suivant dans mon iptables
Vous croirez que ca va suffir ?
C'est donc du spoof sur le localhost
J'ai mis le code suivant dans mon iptables
/sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP
Vous croirez que ca va suffir ?
- bozoleclown
- WRInaute passionné
- Messages: 893
- Inscription: Jeu Nov 24, 2005 19:08
le Mer Mar 14, 2007 14:04
Topsitemaker a écrit:D'accord,
C'est donc du spoof sur le localhost
J'ai mis le code suivant dans mon iptables/sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP
ton serveur fonctionne toujours correctement ?
Bon ca t'empechera de faire plein de trucs cette règle non ?
par exemple un script qui se connecte à la bdd ce voit refuser l'accès ?
ou alors j'ai pas bien compris
-
Topsitemaker - WRInaute impliqué
- Messages: 373
- Inscription: Dim Nov 19, 2006 0:47
le Mer Mar 14, 2007 17:35
Tout marche bien avec ses 2 règles,
il n'empêche que j'aimerai avoir d'autres avis car je ne suis pas un expert d'iptables.
il n'empêche que j'aimerai avoir d'autres avis car je ne suis pas un expert d'iptables.
5 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par Julien Coquet, expert certifié officiellement par Google Analytics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Google Presently : le concurrent de Powerpoint
- Google attaqué en justice
- Séminaire URL Rewriting et sites dynamiques
- Search Engine Strategies - Londres
- Suite de l'article sur le fichier .htaccess : l'URL rewriting
- Google crawle les fichiers CSS
- Article sur le fichier .htaccess
- Microsoft Fremont : contre Google Base et eBay ?
- Hébergement de projets open source sur Google Code
- Google Web Toolkit, pour créer des applications en AJAX
- Comment contrer une attaque sur un blog ?
- Problème requête SQL (ter)
- [article] APACHE, comment ça marche ?
- Ne pas loguer les images dans apache : comment faire?
- Comment faire fonctionner des CGI PERL sous Apache ?????
- marre des pollueurs et des cowboyz...(Ter)
- Attaque ???
- Site attaqué
- punbb attaqué
- Attaque DOS
- attaque d'alexa?
- Attaque de mon référencement ?
- Attaque en contrefaçon de marque
- Mediaset attaque Youtube
- attaque trojan fgg.js
Consultez la description détaillée des produits ou services de Google suivants : Google Bombing, Google Web Toolkit
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité