sites incaccessibles = attaques ? Besoin d'aide

arn0-Linux · Le 16/07/2014, à 09:28

Bonjour,

Mon serveur sous ubuntu est inacessible. C'est a dire que les sites ne fonctionnent plus j'ai tenté de redemarrer et la les ports se sont fermés automatiquement. Donc je tente un redemarage hard (en cours) mais sa na pas l'air de faire grand chose.

Dans les logs j'ai sa avant la panne :

Jul 15 21:35:01  init: ttyS0 main process (6303) terminated with status 1
Jul 15 21:35:01  init: ttyS0 main process ended, respawning
Jul 15 21:35:11  init: ttyS0 main process (6315) terminated with status 1
Jul 15 21:35:11  init: ttyS0 main process ended, respawning
Jul 15 21:35:12  init: tty4 main process (29444) killed by KILL signal
Jul 15 21:35:12  init: tty4 main process ended, respawning
Jul 15 21:35:12  init: tty5 main process (5452) killed by KILL signal
Jul 15 21:35:12  init: tty5 main process ended, respawning
Jul 15 21:35:12  init: tty2 main process (7106) killed by KILL signal
Jul 15 21:35:12  init: tty2 main process ended, respawning
Jul 15 21:35:12  init: tty3 main process (7107) killed by KILL signal
Jul 15 21:35:12  init: tty3 main process ended, respawning
Jul 15 21:35:12  init: tty6 main process (7108) killed by KILL signal
Jul 15 21:35:12  init: tty6 main process ended, respawning

Comment voir ce qui peut poser problème svp ?

EDIT : Après 30 minutes de redemarrage et autre. A priori les sites sont de nouveaux opérationnels par "magie" mais bon je sais pas du tout ce qu'il s'est passé ! A priori des ports fermés mais sa se ferme pas tout seul normalement!

Dernière modification par arn0-Linux (Le 16/07/2014, à 17:40)

src · Le 16/07/2014, à 10:38

Salut,
Ports fermés ou services plantés... cela peut arriver dans les cas suivants :
- CPU ou mémoire saturée (utiliser la commande htop et surveiller aussi le load average)
- Espace disque plein (à priori c'est pas ça sinon il aurait redémarré)
- Attaque ddos
Quand au délai de rétablissement (30min) j'émet l'hypothèse que ton serveur a fait un fsck sur ses disques, ce qui est très long si tu es en ext3.

arn0-Linux · Le 16/07/2014, à 10:55

Bonjour merci pour ta reponse !

Effectivement je suis en ext3 donc c'est pour cela que c'est si long...

Concernant l'espace disque je suis à 21% sur une partition et à 5% sur une autre.
Pour ce qui est de le CPU sa me parait assez étrange qui soit surchargé... La au niveau du load average je suis à 0,00 ou 0,04 et en mémoire : Real memory 47.55 GB total, 551.82 MB used
Quand tu dis memoire saturée sa peut etre produit parcque le serveur n'a jamais été redemarré ?

Comment peut-on voir s'il y a eu une attaque ddos ou pas ?

merci

arn0-Linux · Le 16/07/2014, à 17:38

Bon j'ai analyser pas mal de logs afin de voir si c'est une attaque ou pas et j'ai trouvé quelques trucs mais je ne sais pas trop à quoi sa correspond :

Dans le fichier vhost access log :

X.X.X..X:80 X.X.X.X..73 - - [15/Jul/2014:20:31:33 +0200] "GET [url]http://www.daydaydata.com/proxy.txt[/url] HTTP/1.1" 404 207 "-" "-"
X.X.X.X.:80 X.X.X.X. - - [15/Jul/2014:12:20:33 +0200] "GET / HTTP/1.0" 200 3508 "-" "masscan/1.0 ([url]https://github.com/robertdavidgraham/masscan[/url])"
X.X.X.X.X.:80 X.X.X..X..168 - - [15/Jul/2014:21:30:34 +0200] "GET **************************** HTTP/1.1" 200 7072 "-" "NSPlayer/4.1.0.3856"

Dans le fichier monsite-error.log j'ai un truc bisard que si repete souvent et qui s'arrete pile à l'heure de la panne :

[

Tue Jul 15 21:35:06 2014] [error] [client 80.X.X.X.] File does not exist: /........./crossdomain.xml, referer: [url]http://www.meteo-cernay.fr/meteo-wd/Wdlive/wdlv6_08.swf?http://www.meteo-cernay.fr/meteo-wd/Wdlive2/wdlconfig.xml[/url]

Des avis sur cela svp ? Sinon où faut-il chercher pour voir ce qu'il s'est passer suite au erreur dans syslog (cf. message n°1)

Dernière modification par arn0-Linux (Le 16/07/2014, à 17:39)

src · Le 16/07/2014, à 22:57

La saturation de ram ça se produit plutôt avec des applications merdiques (tomcat/java) ou alors un trop grand nombre de connexions sur ton site.
Pour les logs ça m'a l'air classique, les bots ont tendance à tester automatiquement des url "vulnérables" sur tous les sites qu'ils trouvent.
Si tu es en ext3 cherche pas, ton reboot fut long à cause du fsck
Je me rappelle de l'époque où mon HDD de 500GB prenait 15min à vérifier au boot...
Mais si c'est un serveur chez un prestataire, tu n'as pas un accès idrac ? un kvm ip ? Tu peux suivre le boot avec ça.

arn0-Linux · Le 17/07/2014, à 09:19

Pour ce qui est du KVM ou autre je vais regardé sa mais je pense que s'est des options... Mais bon normalement on redemarre pas un serveur en HARD tous les jours donc suffit de le savoir que sa met 30min en gros...

Mais bon ce qui m’inquiète s'est que je ne sais toujours pas ce qui a produit cet arret brutale de tous les services et/ou fermeture de port :s Car si cela recommence je vais pas "m'amuser " à redemarrer le serveur à chaque fois que sa fait cela...

Tu n'as pas une autre idée car a priori pas d'attaque DDOS, pas de problème lié à l'espace disque et pour ce qui est de la saturation de la mémoire j'aurais eu un message ou autre dans les logs non ?

EDIT : j'ai eu quelques informations de la part de mon prestataire à priori les ports 22 et 80 étaient fermés mais pareil je vois rien de tout cela dans les logs :s

Dernière modification par arn0-Linux (Le 17/07/2014, à 10:10)

arn0-Linux · Le 18/07/2014, à 09:45

Bonjour,

J'ai également vu dans kern.log un message étrange mais pas à la date du plantage :

Jun 26 18:43:08  kernel: sshd invoked oom-killer: gfp_mask=0x44d0, order=2, oom_adj=-17, oom_score_adj=-1000
Jun 26 18:43:08  kernel: sshd cpuset=/ mems_allowed=0
Jun 26 18:43:08  kernel: Pid: 11197, comm: sshd Not tainted ***** #1
Jun 26 18:43:08  kernel: Call Trace:
Jun 26 18:43:08  kernel:  [<c10d105e>] dump_header+0x7e/0x1b0
Jun 26 18:43:08  kernel:  [<c10d1600>] oom_kill_process+0x60/0x280
Jun 26 18:43:08  kernel:  [<c10d1553>] ? select_bad_process+0xd3/0x120
Jun 26 18:43:08  kernel:  [<c10d18f3>] out_of_memory+0xd3/0x1e0
Jun 26 18:43:08  kernel:  [<c10d58f5>] __alloc_pages_nodemask+0x5e5/0x600
Jun 26 18:43:08  kernel:  [<c10d5987>] __get_free_pages+0x17/0x30
Jun 26 18:43:08  kernel:  [<c10feb2e>] __kmalloc_track_caller+0x13e/0x150
Jun 26 18:43:08  kernel:  [<c18dc11c>] ? sock_alloc_send_pskb+0x1ac/0x2a0
Jun 26 18:43:08  kernel:  [<c18e188a>] ? __alloc_skb+0x2a/0x100
Jun 26 18:43:08  kernel:  [<c18e18ad>] __alloc_skb+0x4d/0x100
Jun 26 18:43:08  kernel:  [<c18dc11c>] sock_alloc_send_pskb+0x1ac/0x2a0
Jun 26 18:43:08  kernel:  [<c106d0d7>] ? __wake_up_sync_key+0x47/0x60
Jun 26 18:43:08  kernel:  [<c18dc228>] sock_alloc_send_skb+0x18/0x20
Jun 26 18:43:08  kernel:  [<c198f7ee>] unix_stream_sendmsg+0x20e/0x410
Jun 26 18:43:08  kernel:  [<c18d7887>] sock_aio_write+0x137/0x160
Jun 26 18:43:08  kernel:  [<c10e7a6c>] ? handle_pte_fault+0x54c/0xa40
Jun 26 18:43:08  kernel:  [<c1108bf9>] do_sync_write+0xb9/0x100
Jun 26 18:43:08  kernel:  [<c11098bb>] vfs_write+0x17b/0x1d0
Jun 26 18:43:08  kernel:  [<c11099cd>] sys_write+0x3d/0x70
Jun 26 18:43:08  kernel:  [<c1a7cc21>] sysenter_do_call+0x12/0x26
Jun 26 18:43:08  kernel: Mem-Info:
Jun 26 18:43:08 kernel: DMA per-cpu:

Qu'est que sa veut dire et il y a t il un lien avec le plantage du 15Juil ?

Dernière modification par arn0-Linux (Le 18/07/2014, à 09:46)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 16/07/2014, à 09:28

sites incaccessibles = attaques ? Besoin d'aide

#2 Le 16/07/2014, à 10:38

Re : sites incaccessibles = attaques ? Besoin d'aide

#3 Le 16/07/2014, à 10:55

Re : sites incaccessibles = attaques ? Besoin d'aide

#4 Le 16/07/2014, à 17:38

Re : sites incaccessibles = attaques ? Besoin d'aide

#5 Le 16/07/2014, à 22:57

Re : sites incaccessibles = attaques ? Besoin d'aide

#6 Le 17/07/2014, à 09:19

Re : sites incaccessibles = attaques ? Besoin d'aide

#7 Le 18/07/2014, à 09:45

Re : sites incaccessibles = attaques ? Besoin d'aide

Pied de page des forums