Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 14/01/2015, à 16:08

seabird2_fr

Attaque ??

Bonjour,

Ce matin, j'ai eu une brusque montée en charge CPU ( >90%) ainsi qu'un fort débit reseau par contre la consommation mémoire n'a pas bougé et est resté stable (10%).
cpu
reseau

J'ai redémarré le serveur et maintenant cela fait donc 6H qu'il tourne et le CPU reste au alentour de 20%
En faisant netstat -uta , je vois 64 connections en Time_wait provenant de la même ip . Le problème ne pourrait'il pas venir de là ?

Bannir cette IP, résoudrait'il ce problème ?

Merci pour vos suggestions,

Eric

Dernière modification par seabird2_fr (Le 14/01/2015, à 16:08)

Hors ligne

#2 Le 14/01/2015, à 16:27

jplemoine

Re : Attaque ??

Je suis loin d'être un spécialiste mais je vais tenter une réponse valable...

seabird2_fr a écrit :

Le problème ne pourrait'il pas venir de là ?

oui. c'est possible. Il faut peut-être regarder s'il y a pas eu une attaque de type brut-force pour tenter de trouver le mot de passe.

seabird2_fr a écrit :

Bannir cette IP, résoudrait'il ce problème ?

Je pense que non car si c'est un pirate, il changera d'IP. Il faudrait plutôt mettre en place fail2ban (ou un truc du genre) et/ou limiter le nombre de connexions depuis la même IP.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 14/01/2015, à 16:43

seabird2_fr

Re : Attaque ??

Merci pour la réponse.

J'ai vu également dans le syslog des tentatives massives pour se connecter au FTP venant d'Ukraine ( J'ai pour l'instant désactivé le ftp et bannis les ip dans iptables )

Fail2ban est déjà activé ou alors c'est mon fichier de configuration qui ne va pas.

Je vais voir ce que cela donne d'ici 1H

Eric

Dernière modification par seabird2_fr (Le 14/01/2015, à 16:45)

Hors ligne

#4 Le 14/01/2015, à 17:07

jplemoine

Re : Attaque ??

c'est peut-être le fichier de configuration de fail2ban qui est faux ou incomplet...
Normalement, fail2ban devrait bannir l'IP de plus en plus longtemps mais là, ça dépasse mes compétences.


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#5 Le 14/01/2015, à 17:25

pires57

Re : Attaque ??

Normalement, fail2ban devrait bannir l'IP de plus en plus longtemps mais là, ça dépasse mes compétences.

Non, cela dépend de la configuration de fail2ban.


Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn

Hors ligne

#6 Le 14/01/2015, à 18:18

seabird2_fr

Re : Attaque ??

Bon visiblement cela s'est calmé. je suis retombé à 5% de charge CPU.
Je me suis aperçu que j'avais oublié d'activer le filtre FTP dans fail2ban, (apparemment cela venait des tentatives massives de connexion sur le FTP ).

J'attends encore pour voir si ça évolue

Eric

Hors ligne

#7 Le 14/01/2015, à 19:17

Valentin2105

Re : Attaque ??

Hello !

T'utilise quoi comme appli sur les screenshoots ?

Si ils sont rentré, bannir l'ip de suffit pas, ils ont une backdoor, si c'est un serveur important vaut mieux bien vérifier,

netstat -ant

tu verras déjà si t'a une connexion sortante.
Après pk pas Chrookit ou rkhunter !

Hors ligne

#8 Le 14/01/2015, à 20:05

seabird2_fr

Re : Attaque ??

J'utilise Munin pour les courbes

C'est encore en train de remonter au niveau CPU, j'en suis à 30%
Je viens de lancer netstat -ant et aussi watch lsof -i
et j'ai une nouvelle ligne louche qui revient par intermittence :
apache2   14193 www-data   14u  IPv6 664971      0t0  TCP *****:http->92.204.150.178.triolan.net:52146 (ESTABLISHED)

Eric

Hors ligne

#9 Le 14/01/2015, à 20:43

src

Re : Attaque ??

C'est bizarre qu'une attaque fasse monter le CPU aussi haut hmm
Tu n'aurai pas une application merdique ? Tu es à jour ?
Pour les attaques tu peux vérifier s'il ne s'agit pas de SYNFLOOD (il y a une commande netstat pour ça) ou carrément analyser ton trafic avec Wireshark.

Dernière modification par src (Le 14/01/2015, à 20:43)


Actuellement sur Manjaro Xfce (amd64)

Hors ligne

#10 Le 15/01/2015, à 12:01

LeoMajor

Re : Attaque ??

ftp, ..., apache2

Déjà, il faudrait savoir quels sont les services visés (?!), et regarder les logs, pour le mode opératoire.
L'Ukraine fait parti des pays à mettre sur la liste noire. Voir iptables mod geoip + tarpit

Hors ligne

#11 Le 15/01/2015, à 12:19

seabird2_fr

Re : Attaque ??

Bonjour,

Depuis 23H hier soir tout semble rentré dans l'ordre ( à voir ... )
Utilisation CPU : 5%
cpu

Ce qui est bizarre, c'est qu'à aucun moment l'utilisation mémoire a explosée, c'est toujours resté au alentour de 10%

Sinon oui je pense que je vais bloquer certains pays.
Pour que je ne fasse pas de bêtises, c'est quoi exactement la procédure pour ceux qui l'on fait.

Merci à vous,

Eric

Hors ligne