Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".

#1 Le 14/04/2013, à 14:38

Ippo69

Consulter les logs des requêtes

Bonjour,

Je possède un serveur dédié de la gamme Kimsufi (http://www.kimsufi.com/fr/).
Je subis souvent des attaques DDOS et je souhaiterais savoir comment consulter le log des adresses ip qui entre dans le serveur.

Mon serveur dédié est sous ubuntu.

Je vous remercie par avance

Hors ligne

#2 Le 15/04/2013, à 08:29

tiramiseb

Re : Consulter les logs des requêtes

Salut,

Il n'y a pas de "log centralisé des connexions". Chaque application centralise ses propres logs.

S'il s'agit d'un serveur exclusivement web, tu peux trouver les logs d'accès d'Apache dans /var/log/apache2/access.log.
Si le DDoS passe par là, tu devrais voir les accès en question.
Sinon, on a besoin d'un peu plus de détails, en tout cas de savoir quelles sont les fonctions de ton serveur.

Pour ce genre d'usage, il semblerait que l'outil fail2ban soit tout à fait adapté.
Je ne l'utilise pas, je ne le connais pas, je l'ai découvert sur ce forum. Si jamais j'étais dans ton cas je réfléchirais sérieusement à le mettre en place.



Par ailleurs, comment as-tu constaté qu'il s'agit d'une attaque DDoS ?

Dernière modification par tiramiseb (Le 15/04/2013, à 08:29)


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

En ligne

#3 Le 15/04/2013, à 09:36

Ippo69

Re : Consulter les logs des requêtes

Bonjour, merci de la réponse.

fail2ban, est déjà installé, mais nous avons aucune tentative intrusion dans notre serveur; donc fail2ban ne servirait pas à grand chose contre ce type d'attaque de toute manière.

Nous avons constaté une attaque de type DDOS, car nous avons eu plusieurs menaces, et il est impossible de se connecter au serveur, ftp ssh, bref on n'a perdu tout contrôle du serveur.
Grâce au trafic via le manager OVH, on a vu que la bande passante est complétement dépassé et elle consomme énormément, du genre jusqu'à 300 mbps alors que notre serveur dédié est limité jusqu'à 100 mpbs ...

Ca fait depuis vendredi que notre serveur dédié est saturé.

Hors ligne

#4 Le 15/04/2013, à 09:39

tiramiseb

Re : Consulter les logs des requêtes

Aïe, s'il est impossible de se connecter en SSH ça va être galère. J'aurais bien proposé d'utiliser iptraf pour voir d'où viennent les connexions mais sans accès c'est un peu raté...
Je pense qu'il faut d'abord reprendre la main sur le serveur, peut-être que l'interface d'OVH permet ce genre de choses... Peut-être en lançant un système de récupération...
Ce qui serait éventuellement faisable, c'est de configurer le pare-feu pour logger tous les flux, mais ça va remplir les logs TRÈS TRÈS vite.

Là comme ça, sans pouvoir accéder au serveur, sans avoir la main, je ne sais pas trop ce qui est faisable...
Bon courage !


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

En ligne

#5 Le 17/04/2013, à 10:45

Ippo69

Re : Consulter les logs des requêtes

Il n'y a pas de systeme de récupération dans le manager hmm
Impossible de reprendre contrôle du serveur, tout es saturé.
OVH m'informe que si l'attaque continue trop longtemps ils fermeront mon serveur dédié.
Il n'existe pas vraiment aucune solution technique pour pouvoir au moins reprendre controle et le sécuriser?

Hors ligne

#6 Le 17/04/2013, à 11:09

tiramiseb

Re : Consulter les logs des requêtes

Je pensais qu'il y avait un moyen de démarrer sur un système minimal, dans le cas où tu as fait une grosse bêtise par exemple... Je ne l'ai jamais fait mais j'en avais entendu parler.
En effet, en fouillant le manager de mon kimsufi je ne trouve rien dans le genre.

OVH n'est pas capable de prendre la main sur ton serveur et couper le service qui prend toute la bande passante (histoire de te permettre de sécuriser ça) ?
Car là, comme tu le dis tu ne peux rien faire.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

En ligne

#7 Le 29/04/2013, à 17:47

Ippo69

Re : Consulter les logs des requêtes

Bonjour,
les attaques DDOS on cessé depuis quelques jours. Cependant, le serveur reste inaccesibble, et OVH me répond qu'il ne font aucun support à ce propos, en gros, on se démmerde.

Bref, le serveur web etc reste inaccessible, et quand j'essaye de me connecter au SSH; ca m'indique une erreur 502 bad gateway.

Connaissez vous ce genre de problème?

Hors ligne

#8 Le 29/04/2013, à 17:55

tiramiseb

Re : Consulter les logs des requêtes

quand j'essaye de me connecter au SSH; ca m'indique une erreur 502 bad gateway.

502 Bad Gateway c'est une erreur HTTP, pas une erreur SSH.
Comment tentes-tu de te connecter en SSH !?


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

En ligne

#9 Le 01/05/2013, à 18:32

Ippo69

Re : Consulter les logs des requêtes

Oui me suis gouré, je voulais dire que c'est en accédant au site que ca fait cette erreur.
Quand je me connecte sur putty, ca me met "timeout".

Je ne comprend pas pour quoi je ne n'ai pas accés a mon serveur alors que d'apres OVH, les attaques se sont arrêté. Et OVH refuse de m'expliquer pourquoi malgré l'arrêt des attaques je n'ai plus accès à rien.

Hors ligne

#10 Le 01/05/2013, à 20:59

tiramiseb

Re : Consulter les logs des requêtes

et que donne un ping ?


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

En ligne

#11 Le 01/05/2013, à 21:42

pires57

Re : Consulter les logs des requêtes

OVH ne fait pas de support? bon à savoir, je ne prendrais pas de serveur chez eux.
Surtout que sans accès physique au serveur une fois qu'il est saturé tu rentres plus, c'est assez logique.
Sans avoir de connexion au serveur, malheureusement tu ne pourras pas faire grand chose...


Utilisateur d'Archlinux, Ubuntu et Kali Linux

Hors ligne

#12 Le 01/05/2013, à 21:44

tiramiseb

Re : Consulter les logs des requêtes

C'est vrai que, si tu es bloqué, c'est emmerdant de ne pas pouvoir accéder à ton serveur avec un système de rescue.

Je suis actuellement en train de migrer mon serveur principal d'un petit Kimsufi vers une Dedibox (à prix égal, la Dedibox est plus puissante que le Kimsufi équivalent), les fonctionnalités de ce genre sont intéressantes (système de rescue en netboot, accès à l'interface de management idrac, etc).


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

En ligne

#13 Le 02/05/2013, à 11:46

Titouan

Re : Consulter les logs des requêtes

Quand je me connecte sur putty, ca me met "timeout".

putty/connection

sélectionne Enable TCPKeepAlve
et si ce n'est pas suffisant
Seconds between keepalives 3600

Hors ligne

#14 Le 02/05/2013, à 15:54

Bruno666

Re : Consulter les logs des requêtes

Déjà il faudrait voir si tu as un accès avec telnet par exemple faire un telnet nom_de_ton_serveur 22 et voir si cela répond,

si tu as une erreur, il est possible que ton serveur soit infecté par un vers ou virus qui bloque certain services, et dans ce cas lancer une reinstallation de ton serveur au travers du manager (j'imagine que tu fais des sauvegardes régulières de ton serveur et surtout de tes fichiers de travail (comme le site web que tu héberges), cela te prendra tout au plus 1 heure entre la réinstallation du serveur et la remise en place du site web....)

Tiens nous au courant ippo69

Pour Pires57, il faut savoir que OVH fait du support sur ses serveurs mais cela dépends des serveurs que tu loues, les kimsufi sont les offres les moins cher et n'ont pas de support logiciels uniquement le hardware, par contre les offres de type Eg et autres ont plus de support, mais il faut bien penser qu'en premier lieu on te demandera de réinstaller ton os à neuf et si les problèmes persistent ils lanceront une inter sur la hard.
Comme n'importe quel serveur, qu'il soit hébergé chez toi ou ailleurs.

Hors ligne

#15 Le 04/05/2013, à 21:02

Ippo69

Re : Consulter les logs des requêtes

tiramiseb> Le ping donne ceci:
Envoi d'une requete, "Ping"  adresse_ip_serveur avec 32 octets de données :
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.
Délai d'attente de la demande dépassé.

Statistique ping
Paquets: Envoyés = 4, reçus = 0, perdus 4  (perte 100%)

Titouan> Sa marche toujours pas

Bruno666> Sa me marque commande invalide, c'est normal? (je suis sous windows 7)

Et sinon j'ai déjà essayé de réinstaller le serveur, et aucun changement.

Je comprend vraiment pas là. Comment est ce que c'est possible de ne plus avoir accés a son serveur après une attaque DDOS?

Hors ligne

#16 Le 04/05/2013, à 21:35

src

Re : Consulter les logs des requêtes

pires57 a écrit :

OVH ne fait pas de support? bon à savoir, je ne prendrais pas de serveur chez eux.

Ils ne font le support que si ça concerne le serveur lui-même, et pas ce que tu installes dessus (sinon imagine un peu le périmètre...).
Il y a toujours moyen de lancer une réinstallation du serveur, mais tu perd les données.
Il n'y a pas un KVM sur IP ? Je croyais que si.


Actuellement sur Xubuntu 14.04 (amd64)
Serveur sur FreeBSD 9.2 (i386)
http://maniatux.fr

Hors ligne

Haut de page ↑