Discussion :

[Coussati]

bonjour tout le monde

j'ai un problème

j'héberge mon site web php / mysql (xampp) et quelques programmes (.exe) sur une dedibox windows 2003 serveur et depuis quelques jours le site est hors service

je ne sais pas d'où viens le problème et je suis assez désespéré

au début je croyais que c'était xampp qui beugait, mais je me suis rendu compte que mysql fonctionnait (accessible depuis mes programme .exe) et que c'était que apache qui ne fonctionnait pas

j'ai installé easyphp, et toujours le même résultat

je dois quand même signaler qu'on a eu des menaces de la part d'un visiteur, qui a promis de faire tout sauter; et que ce n'est pas la première fois qu'on a ce problème : seulement il se règle seul au bout de quelques heures ...

j'ai codé un programme qui vérifie les connexions entrante sur le port 80 et j'ai remarqué qu'il y en a pas mal ...

je précise que les status d'apache sur easyphp et xampp sont bien actif (ce qui rend le problème encore plus bizarre); ce qui m'oblige donc à les stoper lorsque je teste avec mon programme codé

alors je ne sais pas si c'est une coïncidence, si on est victime d'attaque; mais au final notre site est HS

dernière remarque : je comprends que le site soit HS lorsqu'on y accède depuis le domaine (en cas d'attaque) mais ce que je trouve bizare c'est qu'il est toujours HS lorsque j'y accède depuis la dedibox en ouvrant mon navigateur à localhost ou 127.0.0.1

donc je me demande si le problème n'est pas local ?

sur easyphp j'ai essayé de changé de port mais toujours le même problème en local ...

je me remet donc à vous et vous en remercie d'avance

[_Mac_]

Y a quoi dans le log d'erreur d'Apache ?

[Coussati]

aucune erreur ... tout est ok ... sauf que ça marche pas ...

[hmnxav]

Regardes ton fichier host

[_Mac_]

Regarde aussi les erreurs dans le gestionnaire d'événements Windows. Donne-nous également le résultat de l'exécution de la commande netstat -an.

[Coussati]

comme je vous ai dis parfois ça reviens et parfois c'est HS (sans doute lors des attaques)

ça va pas nous avancé à grand chose je pense, mais voilà une copie des fichiers que vous m'avez demandé

je préviens quand même que mon site héberge des applications, et mes visiteurs s'y connectent depuis mes programmes; ce qui justifie les connexions sur les ports 40** et 55**

mais bon de toute façon ce qui nous intéresse c'est le port 80 je pense ...

fichier host :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 
127.0.0.1       localhost
::1             localhost

pour netstat -an je l'ai fais à 2 intervalles différents, mais dans les 2 cas apache refonctionnait ...


fichier netstat -an 1 : http://beloteonline.free.fr/leslog.txt


fichier netstat -an 2 : http://beloteonline.free.fr/lelog2.txt



je vous remercie encore de m'aider

[_Mac_]

Une trace quand c'est bloqué serait effectivement intéressante.

Elles sont assez hallucinantes, tes traces. C'est quoi, ces outils ? C'est en mode connecté façon client-serveur old school, pourquoi pas.

L'IP 41.224.137.225, c'est quoi ? Sur les 2 traces, cette IP a ouvert 2452 sockets sur ta machine. Si c'est un reverse proxy qui sert par ailleurs d'autres serveurs, il se pourrait tout simplement qu'il soit saturé et qu'il n'ait plus de socket client à ouvrir (pour rappel, on ne peut ouvrir que 65535 ports au maximum sur une même interface réseau). De la même façon, il se pourrait que ton serveur ait atteint une limite max du nombre de connexions entrantes. J'imagine que si c'est le cas, tu devrais avoir une trace correspondante dans le gestionnaire d'événement de Windows (au passage, tu ne nous as pas dit s'il y avait des choses intéressantes dedans).

Dans ton premier message, tu dis

j'ai codé un programme qui vérifie les connexions entrante sur le port 80 et j'ai remarqué qu'il y en a pas mal ...

on parle de combien de connexions ? Sur tes traces, je note une trentaine de connexions sur le port 80 dont une majorité en TIME_WAIT, ce n'est pas ce que j'appelle un serveur Apache chargé.

Tes applications se connectent comment sur ton serveur Apache ? C'est du code propriétaire ? Est-ce que les connexions sont bien fermées quand elles n'en ont plus besoin ? Tu pourrais tenter de désactiver le keep-alive mais vu la charge (30 connexions...) ce n'est pas ça le problème à mon avis.

[Coussati]

salut

je viens répondre à tes interrogations :

déjà, étant donné que je ne sais pas tout les combien cette personne fait planter mon site, je ne peux pas te donner une date fixe pour les log "lors de l'attaque"

ensuite pour une explication global de mes programmes; en faite c'est une sorte de tchat avec plusieurs room (un port par room, il y en a à peu près 10)

d'après ce que je pense l'ip 41.224.137.225 doit être l'une des ip utilisées pour l'attaque (car il n'y en a pas qu'une)

pour le moment, elle est connecté à aux ports des salles, mais ne gène pas vraiment (je comptais coder un système pour "tuer" ces connexions, mais je n'ai pas encore trouvé de solution)

mais le problème se situe sur mon serveur apache (port 80) lors de l'attaque il y a plein de connexions; je l'ai vérifier avec un tool que j'ai codé qui me donnait l'ip de chaque connexion .... mais il y en a tellement que mon tool finit par beuguer

pour que tu comprennes mon problème : dis toi que mes applications n'ont aucun rapport avec le non fonctionnement d'apache : apache c'est pour héberger le site web uniquement

pour ce qui est du gestionnaire d'évènements excuse moi, mais je ne sais pas ce que s'est, peux tu m'expliquer ou le trouver stp ?

j'espère trouver une solution à ce problème

[_Mac_]

Le gestionnaire d'événement, event viewer en anglais, se trouve dans les outils d'administration de Windows.

Tu veux dire qu'au moment des attaques, toutes les connexions vont sur le port 80, pas du tout sur les ports de tes applis ?

Comment sais-tu qu'il y a eu une attaque ?

[Coussati]

dsl mais je ne trouve tjrs pas le gestionnaire d'évènement

j'ai été dans les outils d'admin, je vois plusieurs gestionnaires, de services en l'occurrence, mais pas d'évènement (le windows est en FR)

les attaques sont aussi sur les ports de mon application, mais ça tient quand même

il doit connaitre les ports grâce au firewall qui demande des autorisations lors de la première utilisation de l'appli

comment je sais qu'il y a attaque ? car c'est une personne qui vient nous menacé à chaque fois que le prob revient et lorsque je compte le nombre de connexion sur les ports de mon appli, il dépasse 10000 parfois, et lorsque j'écoute les connexion sur le port 80, il y a plein de connexion / déconnexion

[_Mac_]

Son vrai nom c'est Observateur d'événements.

A mon avis, tu n'y peux pas grand-chose. Ce n'est pas du côté d'Apache que tu résoudra le problème. Tu peux limiter le nombre de clients (MaxClients) mais si l'attaque se fait aussi sur les autres applis, ça ne servira pas forcément à grand-chose. A mon avis, ce qu'il faut c'est installer un pare-feu devant ton serveur qui fait du filtrage et de la protection DoS (le type d'attaque dont ton serveur est victime).

[Coussati]

j'avais aussi pensé à un firewall anti ddos ... mais ce sera vraiment efficace ?

tu as un à me conseiller ? gratuit de préférence ... même si après je peux l'acheter, il me faut voir s'il est efficace

[_Mac_]

Aucune idée, je ne suis pas du tout un expert en sécurité