Comment interpréter une attaque apache ?
5 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
-
Topsitemaker - WRInaute impliqué
- Messages: 585
- Inscription: 19 Nov 2006
Comment interpréter une attaque apache ?
le Mar Mar 13, 2007 22:38
Bonjour,
Un de mes serveurs subit une attaque DoS ou DDoS (enfin qui a toutes les caractéristiques c'est à dire envolée des process apache jusqu'au maxi, pareil pour 'Established TCP Connections' et baisse du 'TIME_WAIT TCP Connections' ) depuis quelques jours. Des fois c'est quelques minutes, des fois plusieurs heures.
J'ai server-status d'apache,
dès qu'une attaque est en cours
J'ai pleins de lignes comme cela
j'ai remplacé le nom du serveur par domain.com
je n'arrive pas à interpréter le "::1", normalement il y a l'IP et le port.
D'autre part, Je souhaite récupérer la preuve de l'attaque,
quelqu'un a-t-il un script qui permet de retenir ces "::1" car je ne les vois pas dans les logs apache.
Merci pour toutes réponses,
Un de mes serveurs subit une attaque DoS ou DDoS (enfin qui a toutes les caractéristiques c'est à dire envolée des process apache jusqu'au maxi, pareil pour 'Established TCP Connections' et baisse du 'TIME_WAIT TCP Connections' ) depuis quelques jours. Des fois c'est quelques minutes, des fois plusieurs heures.
J'ai server-status d'apache,
dès qu'une attaque est en cours
J'ai pleins de lignes comme cela
391-0 - 0/0/58 . 0.30 13561 8 0.0 0.00 0.27 ::1 domain.com GET /
392-0 - 0/0/160 . 0.49 13088 2 0.0 0.00 0.53 ::1 domain.com GET /
393-0 - 0/0/70 . 0.27 13448 4 0.0 0.00 0.07 ::1 domain.com GET /
394-0 - 0/0/322 . 1.73 12321 2048 0.0 0.00 0.54 ::1 domain.com GET /
395-0 - 0/0/107 . 0.53 13087 4 0.0 0.00 0.24 ::1 domain.com GET /
396-0 - 0/0/124 . 0.34 13487 7 0.0 0.00 0.26 ::1 domain.com GET /
j'ai remplacé le nom du serveur par domain.com
je n'arrive pas à interpréter le "::1", normalement il y a l'IP et le port.
D'autre part, Je souhaite récupérer la preuve de l'attaque,
quelqu'un a-t-il un script qui permet de retenir ces "::1" car je ne les vois pas dans les logs apache.
Merci pour toutes réponses,
- NextGeneration
- WRInaute occasionnel
- Messages: 428
- Inscription: 27 Sep 2006
le Mar Mar 13, 2007 23:44
Il me semble que "::1" est la contraction ipv6 de "127.0.0.1", ca voudrait dire que l'attaque est interne, donc que ton hébergeur a un de ses serveurs hacké
-
Topsitemaker - WRInaute impliqué
- Messages: 585
- Inscription: 19 Nov 2006
le Mer Mar 14, 2007 13:56
D'accord,
C'est donc du spoof sur le localhost
J'ai mis le code suivant dans mon iptables
Vous croirez que ca va suffir ?
C'est donc du spoof sur le localhost
J'ai mis le code suivant dans mon iptables
/sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP
Vous croirez que ca va suffir ?
- bozoleclown
- WRInaute impliqué
- Messages: 893
- Inscription: 24 Nov 2005
le Mer Mar 14, 2007 14:04
Topsitemaker a écrit:D'accord,
C'est donc du spoof sur le localhost
J'ai mis le code suivant dans mon iptables/sbin/iptables -A INPUT -s 127.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -d 127.0.0.0/8 -j DROP
ton serveur fonctionne toujours correctement ?
Bon ca t'empechera de faire plein de trucs cette règle non ?
par exemple un script qui se connecte à la bdd ce voit refuser l'accès ?
ou alors j'ai pas bien compris
-
Topsitemaker - WRInaute impliqué
- Messages: 585
- Inscription: 19 Nov 2006
le Mer Mar 14, 2007 17:35
Tout marche bien avec ses 2 règles,
il n'empêche que j'aimerai avoir d'autres avis car je ne suis pas un expert d'iptables.
il n'empêche que j'aimerai avoir d'autres avis car je ne suis pas un expert d'iptables.
5 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Datacenters ....Comment interpreter ça?
- Comment interpréter ces données ?
- comment interpréter ses statistiques ?
- Comment interpréter l'indice de popularité ?
- comment interpréter la visite de certains visiteurs!!!?
- Comment interpreter ces chiffres de liens ?
- comment interpréter un fort pourcentage de visiteur direct!!!?
- Nouvel adsl ... comment interpréter les chifres ...
- [ClickHeat] comment doit on interpreter les données !!!!!!
- Comment interpréter l'évolution du nombre de pages indexées ?
Consultez la description détaillée des produits ou services de Google suivants : Google Bombing
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités
Contact
Confidentialité