Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 12/02/2016, à 19:05

PoiroOnLinux

Re : [RESOLU] flood sortant

Bon du j'ai fait appel à un amis comme on dit :-)

Après avoir fait un tour sur mes logs, où ils n'a rien trouvé de "spécial"
il m'a surtout diagnostiquer une installation plus tordue donc permettant ouvrant plein de potentiel faille.
Pour l'origine du flood par contre, toujours pas vraiment de réponse :
en gros (hier dans la nuit) :
- depuis le rescue, j'ai fait un clamscan sur le repertoire des sites web
- puis retour en mode normale apache en off
- lancement de fail2ban ( sur un max de service ) => 18 jail en moins 20-30 min
- passwd sur tous les utilisateurs systèmes
- remise au propre des repertoires dans /home * (chmod mais surtout chown)
- re clamscan sur le système
- dump sur les bdd

puis je l'ai laissé tourner comme cela (apache off) jusqu'a 10h00 de matin => ras

puis apache en on avec seulement un site activé et une petite surveillance via

iftop -i eth0

l'idée étant de remettre en service les sites un par un afin de voir si éventuellement l'un pose +pb que d'autres
(ce soir je lance un second) surveille puis le 3eme ... (en mettant au propre mes .conf au passage :-)

Il me reste aussi a vérifier mes tables users des différents sites... ( mais bon j'avais la aussi une config tordu :  phpmyadmin accessible depuis sousdomaine.com/phpmyadmin grace à un symlink viré depuis  :-(

* a la base j'avais suivi ce tuto
https://doc.ubuntu-fr.org/tutoriel/virt … ec_apache2
"Il n'est pas recommandé de travailler directement dans des répertoires du serveur. Un lien symbolique depuis le répertoire principal du serveur vers un répertoire dans votre dossier personnel (par exemple: www-dev/monsite1) est mieux."

puis suite a divers test/manip c'était un beau foutoir dans les répertoires des sites (tantot en user tantot en www-data ...)

bref, une belle config tordue que mon ami m'a conseillé de refaire à 0 un des ces 4 sur un système tout neuf.

En tout cas jusque la, pas de flood et owncloud qui remarche
Je vais tenter d'en savoir plus auprès des tech Online

Encore merci à ceux qui ont tenté de me guider

Dernière modification par PoiroOnLinux (Le 12/02/2016, à 20:43)

Hors ligne

#27 Le 12/02/2016, à 23:24

PoiroOnLinux

Re : [RESOLU] flood sortant

Qui fait le malin tombe dans le ravin smile

Retour du fameux flood sortant même pas 24h après le rallumage de la bete en mode normal hmm

en fouillant dans une copie des logs faites mardi (lors du premier redémarrage donc), je viens de voir que /var/log/btmp est rempli de ligne de ce genre (cf image) car dès que je met les dites lignes entre les balises code du forum +entrée , les lignes disparaissent et le forum me dit cela :

"Erreurs dans le message

Les erreurs suivantes doivent être corrigées pour que le message puisse être envoyé :

    La balise "code" a été trouvée sans balise "/code" correspondante "

j'ai vérifié 3x il y avait bien les balises

Est ce normal ?
1455317674.png


Modération : merci d'utiliser des images de petite taille (300x300) ou des miniatures pointant sur ces images (Un hébergeur comme Toile Libre le permet).

Dernière modification par PoiroOnLinux (Le 13/02/2016, à 10:38)

Hors ligne

#28 Le 13/02/2016, à 10:41

LeoMajor

Re : [RESOLU] flood sortant

bonjour,
tu as 54 fois la Chine et 4 fois l'Ukraine, sur 2 ip seulement, dans ton log numérisé en image.

grep -c 183.3.202.103 /tmp/ocr.txt 
54
geoiplookup -f /usr/share/GeoIP/GeoLiteCity.dat 183.3.202.103
GeoIP City Edition, Rev 1: CN, 30, Guangdong, Guangzhou, N/A, 23.116699, 113.250000, 0, 0
grep -c  193.201.225.24 /tmp/ocr.txt 
4
geoiplookup -f /usr/share/GeoIP/GeoLiteCity.dat 193.201.225.24
GeoIP City Edition, Rev 1: UA, N/A, N/A, N/A, N/A, 50.450001, 30.523300, 0, 0

Hors ligne

#29 Le 13/02/2016, à 10:58

PoiroOnLinux

Re : [RESOLU] flood sortant

j'avais vu pour l'ip en chine.

Et encore c'est qu'une petite partie du btmp...
Le btmp.1 fait quasi 73 Mo.
J'ai pas encore fait redemarrer le serveur en mode rescue donc j'ai pas encore les log + récents (ceci date d'une copie en date du 9/02)
j'imagine que les derniers doivent etre tout autant rempli.

ca peut etre une piste pour mon pb de flood sortant ?

Online me conseil de vérfier/reprendre mes iptables. Quand au type de flood, ils peuvent juste me donner le nbre de paquets :

"paquets IN 940879 | paquets OUT 589"

Dernière modification par PoiroOnLinux (Le 13/02/2016, à 10:59)

Hors ligne

#30 Le 14/02/2016, à 20:26

LeoMajor

Re : [RESOLU] flood sortant

Online me conseille de vérfier/reprendre mes iptables

iptables + mod geoip à installer

sudo iptables -N GEOIP_REJECT
sudo iptables -I GEOIP_REJECT -m geoip --src-cc CN,A1,A2,UA -j DROP
sudo iptables -I INPUT -j GEOIP_REJECT

... j'ai presque envie de dire que la la Chine, est un cas, un cas social irrécupérable !...

Hors ligne

#31 Le 15/02/2016, à 11:51

PoiroOnLinux

Re : [RESOLU] flood sortant

Bonjour,
merci pour l'info je vais donc tester cela.

Autres questions, lorsque me serveur est redémarré (suite a la désactivation par online pour flood) et que j'y accède ( en ssh ou sftp par ex) , on m'indique que la clé a été changé (et donc me demande de la mettre a jour ). Autant en mode rescue qu'en mode normale.
Est ce normal ?
Merci

Dernière modification par PoiroOnLinux (Le 15/02/2016, à 11:58)

Hors ligne

#32 Le 15/02/2016, à 12:07

mazarini

Re : [RESOLU] flood sortant

Ca doit se produire lorsque tu changes de mode. Le mode rescue et le normal n'ont pas la même clé (pas le même système) mais la même adresse.


S'il existait une école de la politique, les locaux devraient être édifiés rue de la Santé. Les élèves pourraient s'habituer. (Pierre Dac)

Hors ligne

#33 Le 17/02/2016, à 14:07

PoiroOnLinux

Re : [RESOLU] flood sortant

Bonjour,
oui effectivement (je m'en doutais)
ce qui m'avait embrouillé c'est que la carte IDRAC déconne (dixit Online) et que le serveur redémarrait en mode normale bien que la console d'admin m'indiquait que le serveur etait en mode rescue.
Problème persistant encore à ce jour mais bon maintenant je le sais

Dernière modification par PoiroOnLinux (Le 24/02/2016, à 21:57)

Hors ligne

#34 Le 24/02/2016, à 21:57

PoiroOnLinux

Re : [RESOLU] flood sortant

Bon, finalement une piste qui semble des plus plausible serait tout bêtement , que le flood soit causé par backuppc :

ce dernier est sur un autre serveur derrière une freebox offant une connexion plutot faible, le serveur dedibox ayant une grosse quantité de données, les backup prennent beaucoup (beaucoup) de temps et ce serait ca qu'Online detecterait comme un flood sortant :-(
(eux me conseil de limiter le traffic en débit vers le serveur portant backuppc mais bon pas sur que ce soit une solution vu les 700Go à sauvegarder et la faiblesse de la connexion sur l'autre serveur .

En tout cas merci à ceux qui ont tenté de m'aider / me guider
Et plus particulèrement à  SRC  qui m'aura beaucoup aider en dehors du forum


Tout n'est pas résolu mais dans la mesure mon post initial était pour comprendre d'ou provenait ce flood sortant je passe ce fil en RESOLU

Hors ligne