Bon alors attention,
il ne s'agit pas de load balancer un coup à droite et un autre à gauche, un pour toi et un pour moi.
Ici le premier serveur se remplit jusqu'à un certain seuil de capacité et tant que les résultats sont bons, continue de recevoir des connexions—d'où le besoin d'un conntrack.
C'est lorsqu'il atteint un certain seuil d'utilisation que les nouvelles connexions vont atterrir sur le deuxième serveur, tout en maintenant les premières.
Le plus simple et rationnel me semble encore d'insérer et de retirer à la volée les bonnes règles iptables sur le loadbalancer (qui en revanche n'est pas encore déclaré comme la passerelle des serveurs).
ça donne ceci ;
WEB
│
ip pub
┌───┴────┐
│ L.B. │
└───┬────┘
private net
└──────┬───────────┬────────────┐
┌───┴────┐ ┌───┴─────┐ ┌───┴─────┐
│Gateway │ │ Server1 │ │ Server1 │
└────────┘ └─────────┘ └─────────┘
Sortir HAproxy me semble un peu overkill si quelques règles correctement paramétrées au niveau système font l'affaire.
et une pelleté de wget et de curl lancé par l'utilisateur jboss
qui ont déposé des fichier 368.1 à 368.77.2 minute après minute contenant la même page
html :
Quelques lignes suspectes dans la maillog :
May 27 12:12:01 tatooine postfix/sendmail[15673]: warning: the Postfix sendmail command has set-uid root file permissions
May 27 12:12:01 tatooine postfix/sendmail[15673]: warning: or the command is run from a set-uid root process
May 27 12:12:01 tatooine postfix/sendmail[15673]: warning: the Postfix sendmail command must be installed without set-uid root file permissions
dans /var/log/secure : a gogo de
May 27 15:09:10 tatooine agetty[18709]: /dev/ttyS0: tcgetattr: Input/output error
May 27 15:09:20 tatooine agetty[18729]: /dev/ttyS1: tcgetattr: Input/output error
ce qui en brouille considérablement la lecture
May 27 15:09:24 tatooine sshd[18731]: Address 93.62.137.164 maps to smtp.arcaplanet.net, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
et, surprise, en l'absence de fail2ban, des connexions ssh tentent leur chances depuis un an,
(161624 tentatives depuis 5595 ip différentes).
# Iptables
Posté par heimdal . En réponse au message Redirection de trafic. Évalué à 1.
Bon alors attention,
il ne s'agit pas de load balancer un coup à droite et un autre à gauche, un pour toi et un pour moi.
Ici le premier serveur se remplit jusqu'à un certain seuil de capacité et tant que les résultats sont bons, continue de recevoir des connexions—d'où le besoin d'un conntrack.
C'est lorsqu'il atteint un certain seuil d'utilisation que les nouvelles connexions vont atterrir sur le deuxième serveur, tout en maintenant les premières.
Le plus simple et rationnel me semble encore d'insérer et de retirer à la volée les bonnes règles iptables sur le loadbalancer (qui en revanche n'est pas encore déclaré comme la passerelle des serveurs).
ça donne ceci ;
Sortir HAproxy me semble un peu overkill si quelques règles correctement paramétrées au niveau système font l'affaire.
[^] # Re: Premières investigations
Posté par heimdal . En réponse au message Piratage de ma machine ???. Évalué à 1.
Bonjour tlm,
Mes collègues ont découvert que leur serveur se faisait exploiter à 100%
depuis vendredi soir, le 24.
Le serveur est une redhat 6, noyau 2.6.32-279.14.1.el6.x86_64
sur laquelle je n'ai trouvé ni les auths ni syslog
Résultat des examens : top :
et une pelleté de wget et de curl lancé par l'utilisateur jboss
qui ont déposé des fichier 368.1 à 368.77.2 minute après minute contenant la même page
html :
<title>1337day Inj3ct0r Exploit Database : vulnerability : 0day : shellcode by Inj3ct0r Team</title>
Dans le crontab :
̀
for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done
Le ~/.sysdbs est un binaire,
strings ~/.sysdbs
sysync.pl , je vous en fait grâce, c'est du perl bien obfusqué qui tape dans
iscvadimswallows.dyndns.biz,webstatzz.twilightparadox.com,westatzo.dyndns-remote.com,suyeifd.dyndns.info,killbilll.twilightparadox.com,ifivecents.dyndns-web.com …etc…
Quelques lignes suspectes dans la maillog :
May 27 12:12:01 tatooine postfix/sendmail[15673]: warning: the Postfix sendmail command has set-uid root file permissions
May 27 12:12:01 tatooine postfix/sendmail[15673]: warning: or the command is run from a set-uid root process
May 27 12:12:01 tatooine postfix/sendmail[15673]: warning: the Postfix sendmail command must be installed without set-uid root file permissions
dans /var/log/secure : a gogo de
May 27 15:09:10 tatooine agetty[18709]: /dev/ttyS0: tcgetattr: Input/output error
May 27 15:09:20 tatooine agetty[18729]: /dev/ttyS1: tcgetattr: Input/output error
ce qui en brouille considérablement la lecture
May 27 15:09:24 tatooine sshd[18731]: Address 93.62.137.164 maps to smtp.arcaplanet.net, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
et, surprise, en l'absence de fail2ban, des connexions ssh tentent leur chances depuis un an,
(161624 tentatives depuis 5595 ip différentes).
/etc/passwd
est-ce que ça pose problème si ce n'est pas à
/bin/false
? pourquoi ?Donc voilà un serveur bien troué…