Forum général.général pistes de recherche pr pb serveur ...

Posté par dede42 le 10 décembre 2009 à 13:27.

Étiquettes : aucune

déc.

2009

Bonjour,

J'ai actuellement un pb sur un serveur qui se fait bloquer par mon isp car il emet plus de 500 connexions/sec a une heure precise sur son DNS.
J'ai jeté un cp d'oeil sur les crons, les services qui tournent (nmap) les messages des reps /var/log mais je n'arrive pas a cerner le pb.
J'ai remarqué differentes choses sur le access_log d'apache (il y aun serveur web externe) (GET google .com/bot.html, GET yahoo slurp : a priori des robots d'indexage) mais a priori rien de particulier.
Est ce que quelqu'un a une idee pour traquer la source du pb ?

merci par avance

# botnet

Posté par nono14 (site web personnel) le 10 décembre 2009 à 13:40. Évalué à 1.

Ce sont peut être des machines zombies qui scrutent le web à la recherche de serveurs "open proxy".

Si erreur 4XX de la requete correspondante , pas de soucis.
Système - Réseau - Sécurité Open Source
- [^] # Re: botnet
  
  Posté par dede42 le 10 décembre 2009 à 13:44. Évalué à 1.
  
  merci mais si ce sont des machines exterieurs, comment peuvent elles faire generer par ma machine 500 connexions /sec au DNS de mon isp ?
  - [^] # Re: botnet
    
    Posté par dede42 le 10 décembre 2009 à 13:46. Évalué à 1.
    
    et de plus je n'ai pas 500 connexions sur le access_log d'apache ...
    - [^] # Re: botnet
      
      Posté par nono14 (site web personnel) le 10 décembre 2009 à 13:50. Évalué à 2.
      
      Il y a surement autre chose, peut être qu'une trace réseau ( analyseur de trame ) te donnera des indices...
      Système - Réseau - Sécurité Open Source
      - [^] # Re: botnet
        
        Posté par dede42 le 10 décembre 2009 à 13:51. Évalué à 1.
        
        ok merci
# requete DNS, à une heure precise

Posté par NeoX le 10 décembre 2009 à 14:46. Évalué à 2.

tu n'aurais pas un serveur DNS sur ta machine ?

qui recupererait les zones ROOT (A/B/C/D....) une fois par jour ?
- [^] # Re: requete DNS, à une heure precise
  
  Posté par dede42 le 10 décembre 2009 à 15:06. Évalué à 1.
  
  non le serveur DNS est chez le fournisseur
  - [^] # Re: requete DNS, à une heure precise
    
    Posté par NeoX le 10 décembre 2009 à 15:10. Évalué à 2.
    
    et les requetes DNS viennent de ton serveur ou de l'exterieur ?
    
    si ca vient de l'exterieur, ton fournisseur n'a aucune raison valable de te couper ton acces.
    
    si ca vient de ton serveur, effectivement ton fournisseur peut te demander des comptes
    - [^] # Re: requete DNS, à une heure precise
      
      Posté par dede42 le 10 décembre 2009 à 15:54. Évalué à 1.
      
      Les requetes viennent de mon serveur, elles adressent le serveur DNS sur le port 53.
      - [^] # Re: requete DNS, à une heure precise
        
        Posté par NeoX le 10 décembre 2009 à 19:48. Évalué à 3.
        
        tu peux tenter de bloquer les resolutions DNS lancées par ton serveur à coup d'iptables.
        
        tu verras vite quel service ne fonctionne plus sur la periode de temps donnée
# facile

Posté par fcartegnie le 10 décembre 2009 à 15:48. Évalué à 2.

Génération de statistiques d'après les logs, avec résolution dns pour les ip
- [^] # Re: facile
  
  Posté par dede42 le 10 décembre 2009 à 15:55. Évalué à 1.
  
  avec syslog ?
  - [^] # Re: facile
    
    Posté par NeoX le 10 décembre 2009 à 16:51. Évalué à 2.
    
    syslog enregistre au fil de l'eau
    
    par contre un outil comme cacti/rrdtool ou autres outils de monitoring generent leurs stats une fois par jour
    
    et font peut-etre la resolution à ce moment là.
    
    faut regarder ce que tu as en cron sur les plages horaires incriminées par ton fournisseur
# heure précise

Posté par Old Geek le 10 décembre 2009 à 19:05. Évalué à 1.

Hello,

As-tu un webalyzer ou awstats par exemple, qui ferait un paquet de résolutions dns pour générer des stats de sites visités , à intervalle réguliers ?

n'oublies pas dans la crontab il n'y a pas que /var/spool/cron...
mais aussi tous les /etc/cron***

Si tu as bidouillé les logs apache, il se peut que la résolution inverse dns soit activée, en tracant le réseau tu pourrais vérifier si ce sont des requetes dns normales ou inverses. (attention si tcpdump ajouter -n, sinon lui meme va t'envoyer des requetes dns inverses !)

en analysant le type de résolutions demandées (tcpdump), les noms de domaines résolus te mettrons peut etre sur une piste.

Nicolas
- [^] # Re: heure précise
  
  Posté par dede42 le 11 décembre 2009 à 09:33. Évalué à 1.
  
  hello,
  
  nope pas de webalizer ou awstats
  
  pr les crons je vais regarder + en details car j'avais surtout regardé la simple crontab
  
  pour le tcpdump j'en ai fait un hier soir, je vais essayer de decortiquer tout ca !!
  
  merci
  - [^] # Re: heure précise
    
    Posté par dede42 le 11 décembre 2009 à 10:15. Évalué à 1.
    
    bon a priori j'ai tout un tas de requetes DNS qui partent de mon serveur a une heure bien precise.
    Est ce qu'il existe un outil ou moyen qui me permettrait de faire le lien avec la commande qui est a l'origine de tout ca.
    comme un ps -ef chaque ms ou un netstat -antp ?
    - [^] # Watch ?
      
      Posté par nono14 (site web personnel) le 11 décembre 2009 à 10:56. Évalué à 1.
      
      watch -n 10 par ex
      Système - Réseau - Sécurité Open Source
      - [^] # Re: Watch ?
        
        Posté par dede42 le 11 décembre 2009 à 11:37. Évalué à 1.
        
        ok comme un cron finalement
        mais l'idée d'un process qui tourne en tache de fond pour verifier les process existe t elle ?
      - [^] # Re: Watch ?
        
        Posté par dede42 le 11 décembre 2009 à 11:48. Évalué à 1.
        
        ok comme un cron finalement
        mais l'idée d'un process qui tourne en tache de fond pour verifier les process existe t elle ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.