Forum général.général pistes de recherche pr pb serveur ...

Posté par  .
Étiquettes : aucune
0
10
déc.
2009
Bonjour,

J'ai actuellement un pb sur un serveur qui se fait bloquer par mon isp car il emet plus de 500 connexions/sec a une heure precise sur son DNS.
J'ai jeté un cp d'oeil sur les crons, les services qui tournent (nmap) les messages des reps /var/log mais je n'arrive pas a cerner le pb.
J'ai remarqué differentes choses sur le access_log d'apache (il y aun serveur web externe) (GET google .com/bot.html, GET yahoo slurp : a priori des robots d'indexage) mais a priori rien de particulier.
Est ce que quelqu'un a une idee pour traquer la source du pb ?

merci par avance
  • # botnet

    Posté par  (site web personnel) . Évalué à 1.

    Ce sont peut être des machines zombies qui scrutent le web à la recherche de serveurs "open proxy".

    Si erreur 4XX de la requete correspondante , pas de soucis.

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: botnet

      Posté par  . Évalué à 1.

      merci mais si ce sont des machines exterieurs, comment peuvent elles faire generer par ma machine 500 connexions /sec au DNS de mon isp ?
      • [^] # Re: botnet

        Posté par  . Évalué à 1.

        et de plus je n'ai pas 500 connexions sur le access_log d'apache ...
        • [^] # Re: botnet

          Posté par  (site web personnel) . Évalué à 2.

          Il y a surement autre chose, peut être qu'une trace réseau ( analyseur de trame ) te donnera des indices...

          Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

  • # requete DNS, à une heure precise

    Posté par  . Évalué à 2.

    tu n'aurais pas un serveur DNS sur ta machine ?

    qui recupererait les zones ROOT (A/B/C/D....) une fois par jour ?
    • [^] # Re: requete DNS, à une heure precise

      Posté par  . Évalué à 1.

      non le serveur DNS est chez le fournisseur
      • [^] # Re: requete DNS, à une heure precise

        Posté par  . Évalué à 2.

        et les requetes DNS viennent de ton serveur ou de l'exterieur ?

        si ca vient de l'exterieur, ton fournisseur n'a aucune raison valable de te couper ton acces.

        si ca vient de ton serveur, effectivement ton fournisseur peut te demander des comptes
        • [^] # Re: requete DNS, à une heure precise

          Posté par  . Évalué à 1.

          Les requetes viennent de mon serveur, elles adressent le serveur DNS sur le port 53.
          • [^] # Re: requete DNS, à une heure precise

            Posté par  . Évalué à 3.

            tu peux tenter de bloquer les resolutions DNS lancées par ton serveur à coup d'iptables.

            tu verras vite quel service ne fonctionne plus sur la periode de temps donnée
  • # facile

    Posté par  . Évalué à 2.

    Génération de statistiques d'après les logs, avec résolution dns pour les ip
    • [^] # Re: facile

      Posté par  . Évalué à 1.

      avec syslog ?
      • [^] # Re: facile

        Posté par  . Évalué à 2.

        syslog enregistre au fil de l'eau

        par contre un outil comme cacti/rrdtool ou autres outils de monitoring generent leurs stats une fois par jour

        et font peut-etre la resolution à ce moment là.


        faut regarder ce que tu as en cron sur les plages horaires incriminées par ton fournisseur
  • # heure précise

    Posté par  . Évalué à 1.

    Hello,

    As-tu un webalyzer ou awstats par exemple, qui ferait un paquet de résolutions dns pour générer des stats de sites visités , à intervalle réguliers ?

    n'oublies pas dans la crontab il n'y a pas que /var/spool/cron...
    mais aussi tous les /etc/cron***

    Si tu as bidouillé les logs apache, il se peut que la résolution inverse dns soit activée, en tracant le réseau tu pourrais vérifier si ce sont des requetes dns normales ou inverses. (attention si tcpdump ajouter -n, sinon lui meme va t'envoyer des requetes dns inverses !)

    en analysant le type de résolutions demandées (tcpdump), les noms de domaines résolus te mettrons peut etre sur une piste.

    Nicolas
    • [^] # Re: heure précise

      Posté par  . Évalué à 1.

      hello,

      nope pas de webalizer ou awstats

      pr les crons je vais regarder + en details car j'avais surtout regardé la simple crontab

      pour le tcpdump j'en ai fait un hier soir, je vais essayer de decortiquer tout ca !!

      merci
      • [^] # Re: heure précise

        Posté par  . Évalué à 1.

        bon a priori j'ai tout un tas de requetes DNS qui partent de mon serveur a une heure bien precise.
        Est ce qu'il existe un outil ou moyen qui me permettrait de faire le lien avec la commande qui est a l'origine de tout ca.
        comme un ps -ef chaque ms ou un netstat -antp ?
        • [^] # Watch ?

          Posté par  (site web personnel) . Évalué à 1.

          watch -n 10 par ex

          Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

          • [^] # Re: Watch ?

            Posté par  . Évalué à 1.

            ok comme un cron finalement
            mais l'idée d'un process qui tourne en tache de fond pour verifier les process existe t elle ?
          • [^] # Re: Watch ?

            Posté par  . Évalué à 1.

            ok comme un cron finalement
            mais l'idée d'un process qui tourne en tache de fond pour verifier les process existe t elle ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.