Mon serveur hacké

[Cecobe]

Bonjour,

Je suis en dédié depuis le 10 novembre et la popularité de mon forum provoque certaines jalousies. On a tenté au début de flamber ma bande passante en aspirant en masse le contenu des mes répertoires mais j'ai identifier le rigolo par son IP et arrêter ses agissement en mettant en place un htaccess.

Depuis quelques jours par contre mon serveur plante constemment et mon hébergeur ne sait pas quoi me dire. Il mettait à chaque fois du temps pour le remettre en ligne et ce après que je m'égosille à leur exiger une explication, ils m'informent que je suis victime de pirates executant des attaques de type DDOS et qu'ils peuvent pas grand chose contre ça.

J'ai appris que ces attaques étaient terribles et faisaient le cauchemar des hébergeurs et webmasters

Le pire est que je sens qu'ils aimeraient se débarrasser de moi car ils sont certainement obligés de monopoliser des techniciens. Le comble est que je me sens repprocher de façon indirecte ce qui m'arrive car ils m'ont dit ne pas vouloir être au milieu de moi et des gens qui nous en veulent c'est vraiment stupide comme réaction car moi j'ai jamais cherché à nuire à qui que ce soit ou a provoquer ces agissements.

Avez vous des conseils à me donner

Pour info la mise en place de ce serveur (installation/paramétrage m'a déja coûté plus de 250$), alors je voudrais pas fuire chez un autre hébergeur sous prétexte que le mien n'arrive pas à me protéger (enfin jusq'à présent)

Je souhaite vivement qu'ils arrivent à trouver une parade efficace et qu'ils me tournent pas le dos comme si j'étais un pestiférré. (enfin c'est l'impression que cela donne)

Merci

[Dan]

Salut Cecobe,

As-tu les logs Apache de ces derniers jours ? Et as-tu regardé de quoi il retournait ?

Peux-tu nous donner l'URL de ton site ainsi que ta config (Version O/S et niveau de patch )

Pour pallier aux aspirateurs, tu peux aussi mettre en place différents modules Apache ou bloquer une IP à l'aide du firewall.

Dan

[Cecobe]

Merci Dan,

Je n'ai pas encore regardé les log Apache non. A vrai dire je suis en dédié par obligation de mon hébergeur car mon forum était trop fréquenté.

L'administration du serveur est gérée par mon hébergeur contre 50$ mensuel.

Excusez donc mes faibles connaissances dans ce domaine.

Je vais de ce pas demander ou trouver ou alors qu'ils me communiquent les logs Apache de ces derniers jours.

L'URL de mon forum est www.celinecommunity.com

Sinon pour ma configuration :

Operating system  Linux

Service Status 

apache (1.3.33 (Unix)) up

cppop up

cpsrvd up

exim (exim-4.43-40_cpanel_smtpctl_av_rewrite_mm2_mmmtrap_exiscan_md5pass) up

eximstats up

ftpd up

imap up

mysql (4.0.22-standard) up

syslogd up

Server Load 2.70 (1 cpu)

Memory Used 32.1 %

Swap 0.950 %

Disk hda3 (/) 16 %

Disk hda1 (/boot) 14 %

Kernel version  2.4.21-4.0.1.E

Machine Type  i686

Apache version  1.3.33 (Unix)

PERL version  5.8.1

Path to PERL  /usr/bin/perl

Path to sendmail  /usr/sbin/sendmail

PHP version  4.3.9

MySQL version  4.0.22-standard

cPanel Build  9.9.8-RELEASE 160

Y'a probablement trop d'infos mais mieux vaut trop que pas assez...

Mon hébergeur dit que l'identification est impossible car l'attaque provient de multiples IP, c'est la particularité du DDOS

Voila

[thewiseoldman]

Malheureusement un script anti aspirateur ne fera pas le poids contre une attaque DDOS, le but étant de saturer le serveur de requêtes peu importe que ces requêtes soit redirigées ou bloquées il faut quand même les traiter.

Maitenant ton hébergeur devrait de lui même être en mesure de bloquer les IPs qui attaquent son réseau, plutôt que de prendre la solution de facilité consistant à mettre ta machine hors service.

[Dan]

L'administration du serveur est gérée par mon hébergeur contre 50$ mensuel.

Excusez donc mes faibles connaissances dans ce domaine.

Je vais de ce pas demander ou trouver ou alors qu'ils me communiquent les logs Apache de ces derniers jours.

L'URL de mon forum est www.celinecommunity.com

Sinon pour ma configuration :

../..

Y'a probablement trop d'infos mais mieux vaut trop que pas assez...

Mon hébergeur dit que l'identification est impossible car l'attaque provient de multiples IP, c'est la particularité du DDOS

A ce tarif là, ils peuvent te fournir un minimum de prestation je pense.

Une remarque: le CPU load me semble trop haut. faisais-tu quelque chose de spécial à ce moment ? (pour autant que la valeur retournée soit celle d'uptime).

Sinon, tu as manifestement les dernières versions Apache/php (en 1.3.x) et une des dernières versions de mySql. Pas de commentaire spécifique sur ce plan.

Tu devrais pouvoir trouver les logs Apache sans problème.

Une DOS me semble improbable. Mais l'examen des logs permettrait de s'en assurer. Ce n'est pas parce qu'un utilisateur a lancé un aspirateur qu'il faut penser à une DOS

Tu tournes sur quel type de machine ? un PIV ? Avec combien de RAM et de swap ?

Dan

[thewiseoldman]

Comme Dan je suis sceptique sur l'attaque DOS, as tu mis en place les .htaccess refusant le téléchargement si le referrer n'est pas ton domaine ?

[Cecobe]

Une remarque: le CPU load me semble trop haut. faisais-tu quelque chose de spécial à ce moment ? (pour autant que la valeur retournée soit celle d'uptime).

J'offre du téléchargement de vidéos à un groupe restreind de membre, mais je l'avais désactivé les jours précédents pour éviter que l'on me dise que c'était ça. Le problème était pourtant bien là.

Une DOS me semble improbable. Mais l'examen des logs permettrait de s'en assurer. Ce n'est pas parce qu'un utilisateur a lancé un aspirateur qu'il faut penser à une DOS

Bon je vais voir ça, mais au pire je pourrai t'envoyer le fichier pour que tu y jettes un oeil ?

Tu tournes sur quel type de machine ? un PIV ? Avec combien de RAM et de swap ?

J'ai un Celeron 1.3 Ghz avec 1024 Mo de mémoire vive

PS : là mon serveur est de nouveau hors service c'est rageant !

[Dan]

Il serait intéressant de connaître le nombre de Hits/jour de ce serveur. Idem pour le nombre de pages vues et visiteurs.

As-tu un outil statistique en ligne ? Il suffirait d'avoir des valeurs grossières pour voir où le bât blesse.

Idem pour les mrtg du système. Je ne sais pas s'ils sont installés, mais ce serait bien de les configurer. AU moins on verrait les dates/heures à problème.

Je pense que tu dois avoir un ou plusieurs scripts qui "coincent", ce qui expliquerait une charge CPU de 2.7

Celle-ci ne devrait idéalement pas dépasser le nombre de CPU (1 dans ton cas). Pour info, le Hub a tourné avec 0.09 en moyenne durant le dernier mois, et il y a 10 autres -petits- domaines sur le serveur. Cela fait une différence énorme !

Dan

[Cecobe]

Comme Dan je suis sceptique sur l'attaque DOS, as tu mis en place les .htaccess refusant le téléchargement si le referrer n'est pas ton domaine ?

<{POST_SNAPBACK}>

Seulement sur le répertoire contenant les vidéos...

[Dan]

J'offre du téléchargement de vidéos à un groupe restreind de membre, mais je l'avais désactivé les jours précédents pour éviter que l'on me dise que c'était ça. Le problème était pourtant bien là.

Bon je vais voir ça, mais au pire je pourrai t'envoyer le fichier pour que tu y jettes un oeil ?

J'ai un Celeron 1.3 Ghz avec 1024 Mo de mémoire vive

PS : là mon serveur est de nouveau hors service  c'est rageant !

Le téléchargement de vidéos ne devrait pas influencer le CPU, sauf si elles sont calculées en temps réel. J'imagine qu'il s'agit de fichiers stockés sur ton disque, donc ce n'est pas le cas.

M'envoyer le fichier ? si tu as une communauté plutôt active je crains qu'il ne fasse plusieurs dizaines/centaines de Mb selon l'intervale que tu auras dans le logrotate Difficile de me l'envoyer dans ce cas

Par contre, un Celeron 1.3 me semble peut-être un peu "court" pour ce type de site. Combien te coute-t-il mensuellement ?

Dan

[Cecobe]

Il serait intéressant de connaître le nombre de Hits/jour de ce serveur. Idem pour le nombre de pages vues et visiteurs.

As-tu un outil statistique en ligne ? Il suffirait d'avoir des valeurs grossières pour voir où le bât blesse.

Oui je vous les communiquerai dés que j'aurai accès à mon serveur de nouveau

Idem pour les mrtg du système. Je ne sais pas s'ils sont installés, mais ce serait bien de les configurer. AU moins on verrait les dates/heures à problème.

C'est quoi mrtg ?

Je pense que tu dois avoir un ou plusieurs scripts qui "coincent", ce qui expliquerait une charge CPU de 2.7

Celle-ci ne devrait idéalement pas dépasser le nombre de CPU (1 dans ton cas). Pour info, le Hub a tourné avec 0.09 en moyenne durant le dernier mois, et il y a 10 autres -petits- domaines sur le serveur. Cela fait une différence énorme !

Les vidaos téléchargées peuvent être aussi en cause ? Ce qui est bizarre c'est que j'ai ces problèmes par intermitence... Par exemple, depuis hier soir 19h ça tournait impec et pourtant nous étions près de 200 sur le forum.

Là il est tombé alors que pour moi c'est une heure creuse.

Bruno

[Cecobe]

Par contre, un Celeron 1.3 me semble peut-être un peu "court" pour ce type de site. Combien te coute-t-il mensuellement ?

Tout compris avec l'administration, à environ 230 $ par mois

[Dan]

PS : là mon serveur est de nouveau hors service  c'est rageant !

Il serait intéressant d'avoir les logs de cette période. J'ai l'impression que ton hébergeur te raconte des bobards

[Dan]

Tout compris avec l'administration, à environ 230 $ par mois

Même si le $ baisse, cela reste très cher pour un Celeron 1.3GHz

Tu as d'autres sites sur ce serveur ?

[Cecobe]

Je tente d'obtenir les logs en question et je reprend contact. Merci Dan, je pense que vous avez raison.

Et Merci The wiseoldman

Modifié 2 Décembre 2004 par Cecobe

[thewiseoldman]

Le téléchargement bouffe de la mémoire non ? alors un + un + un ca peut handicaper la mémoire disponible pour les scripts , plus assez de mémoire -> swap -> serveur qui rame.

Je sais que tu ne veux pas changer d'hébergeur mais c'est pourtant la meilleure chose à faire parfois, à moins de trouver une personne calée qui viendra prouver à IPS qu'ils te mènent en bateau et qu'il est temps qu'ils se penchent sérieusement sur le problème tu risques de souffrir un long moment.

[Dan]

Le téléchargement bouffe de la mémoire non ? alors un + un + un ca peut handicaper la mémoire disponible pour les scripts , plus assez de mémoire -> swap -> serveur qui rame.

Dans la config qu'il nous donne, il n'utilise qu'environ 30% de la mémoire et pratiquement pas de swap. Cela ne l'empêche pas d'avoir un CPU load a 2.7

C'est donc ailleurs qu'il faut chercher !

[Cecobe]

Arf, je vais me pencher serieusement sur la question Gilles.

Mais va falloir que je trouve un hébergeur serieux mais j'ai tendance à facilement faire confiance

[Cecobe]

Pour te répondre à une question plus haut Dan, oui j'ai un autre site mais qui n'est pas très fréquenté...

Voici une capture de mes stats sur 2004 pour avoir une vision d'ensemble :

Sinon pour info, l'hébergeur a relancer mon serveur et il est tombé peu après que j'ai vu les stats et remarqué que sur 2 jours une IP qui n'est pas membre de mon forum et faisant partie du Top 10 des plus gros téléchargements en 1ère position avec plus de 20% de global téléchargé.

Hits : 31957 13.29%

Files : 26739 21.81%

KBytes : 1082101 24.39%

Visits : 1 0.04%

J'ai banni cette IP et envoyé un mail à son service abuse en allemagne.

J'ai ensuite juste eu le temps de remarquer que cette IP était loguée en invité sur mon forum et 2 minutes après voir mon serveur tomber de nouveau...

[Dan]

Salut Cecobe,

Il faut que les téléchargements soient gérés par un programme php et non accessibles directement sur le serveur.

Ce programme doit vérifier les permissions accordées avant de lancer le téléchargement. De plus, l'accès au programme pourrait être lui-même sécurisé.

Cela te permettrait d'éviter ces désagréments de "downloads intempestifs".

Ce n'est pas très compliqué à mettre en place

Dan

[Dan]

C'est quoi mrtg ?

Les MRTG sont les "Multi Router Traffic Grapher", soit une forme graphique de l'activité du serveur calculée à intervalle de 5 minutes.

Cela te permet d'avoir une seule page avec des graphes te permettant de voir tout de suite ce qui coince le cas échéant.

Cela s'installe plutôt simplement, c'est gratuit, et ne consomme pas beaucoup de CPU. Par contre, c'est un outil indispensable pour visualiser la "santé" d'un serveur

Dan