Attaques via Apache sur Squeeze

Support Debian
#1

Bonjour à tous,

Je suis victime d’attaques sur mon serveur web, et la faille semble être sur Apache.

Symptômes : serveur ralenti, et le ps -aux me donne des lignes du style

Cela m’est arrivé il y a 2 jours, et ça continue, même après avoir fait une mise à jour de Lenny vers Squeeze (oui j’étais bien en retard…)

Je croyais être tranquille depuis hier après avoir mis à jour vers Squeeze, mais non, depuis ce matin ça reprend, et je suis tombé sur ce post qui a visiblement le même souci : forums.debian.net/viewtopic.php?f=30&t=108751

Je voulais donc ouvrir un topic ici pour informer et également demander un peu d’aide pour échapper à ces attaques.
J’ai pensé bien sur faire à nouveau un upgrade vers Wheezy, mais avant j’aurais aimé savoir si il n’y avait pas moyen de corriger cette faille en mettant à jour juste Apache et non toute la ditrib ?

Merci d’avance !

#2

Tant qu’a faire je crois que t’es mieux parti pour mettre à jour toute la distrib.
Tu seras gagnant à être en Stable.

Si tu veux juste mettre à jour Apache, recherche “pinning” et preferences.list sur ce forum.

Mais je ne sais pas si tout ça solutionnera ton problème.

#3

ajoute les backport a ton source.list, peut être que tu y gagnera une version de Apache non sensible à cet attaque.

#4

C’est ce que j’ai fait (vouloir upgrader en stable) et j’ai planté lamentablement ma machine (j’ai ouvert un topic tout à l’heure sur le forum).

Résultat : je fais mes backups en mode rescue car la machine ne boot plus, et je vais reinstaller le serveur à neuf en stable…

Merci en tout cas pour vos messages :wink:

#5

bonsoir,
la machine ne boot plus,
tu as accés aux lignes de grub aprés DMI pool data?

si oui le mode rescue 2° choix,
au contrld faire entré
si une base de donnée derrière le recovery se fera

si nom avec une clé usb bootable (Debian 7.2) vérifier le bootstrap avec fdisk -l
ne pas réinstaller SVP
A+
JB1

#6

Bonsoir,

Tout se passe à distance, c’est un serveur dédié auquel je n’accède qu’en ssh…

#7

si les attaques continuent, tu peux regarder du coté de modSecurity pour sécuriser un peu plus ton apache2. Ou aussi fail2ban avec shorewall pour blackister les attaquant…

#8

[quote=“vallica”]Bonjour à tous,

Je suis victime d’attaques sur mon serveur web, et la faille semble être sur Apache.

Symptômes : serveur ralenti, et le ps -aux me donne des lignes du style

Cela m’est arrivé il y a 2 jours, et ça continue, même après avoir fait une mise à jour de Lenny vers Squeeze (oui j’étais bien en retard…)

Je croyais être tranquille depuis hier après avoir mis à jour vers Squeeze, mais non, depuis ce matin ça reprend, et je suis tombé sur ce post qui a visiblement le même souci : forums.debian.net/viewtopic.php?f=30&t=108751

Je voulais donc ouvrir un topic ici pour informer et également demander un peu d’aide pour échapper à ces attaques.
J’ai pensé bien sur faire à nouveau un upgrade vers Wheezy, mais avant j’aurais aimé savoir si il n’y avait pas moyen de corriger cette faille en mettant à jour juste Apache et non toute la ditrib ?

Merci d’avance ![/quote]

Il y a quelque jours une faille à été exploité à l’aide d’un script sortit il ya 10 ou 15 jours grand maximum s’appuyant sur une vielle faille contenu dans le CGI-bin des serveurs les plus vieux et les moins maintenus.

Voici un exemple de scriopt :

exploit-db.com/exploits/29290/

Voici le CVE :

cve.mitre.org/cgi-bin/cvename.cg … -2012-1823

C’est juste un exemple de ce qu’il se passe avec de vieux serveurs non maintenu ou mal maintenu :confused:

Maintenant si tu te prend du dns poisoning ou du DDOS classique il n’y a malheureusement presque rien à faire.
La sécurisation de tes applicatifs doit être une priorité suite à la réinstallation du serveur.

Question subsidiare ne faites-vous pas régulièrement des audit de vos serveurs ?
Un Scanne OpenVAS de façon mensuel permet bien souvent de relever pas mal de petites choses à modifier/corriger :whistle:

#9

Bonjour,

Le problème me concernant, c’est que je suis développeur web, donc pas du tout admin sys.

Alors au départ on a besoin de s’avoir s’installer/configurer des distrib pour faire tourner ses plateformes de dev, et puis un jour un client vous demande de l’hébergement, ça l’arrange de n’avoir qu’un interlocuteur, vous acceptez, et là vous vous retrouver avec des responsabilités d’admin sys pour lesquelles vous n’avez pas les compétences car niveau sécurité et même optimisation serveur, c’est tout un métier qui nécessite de s’investir niveau temps, et également d’avoir une certaine expérience.

Voilà comment j’en arrive à avoir des serveurs sur lesquels des sites tournent à la mode “tant que ça tient tant mieux”, et là ça a cassé !

#10

Le principe, c’est d’avoir la dernière “stable”, ou à la rigueur l’avant-dernière (c’est encore mon cas) et de suivre au jour le jour les mises à jour de sécurité.
Il y des systèmes d’alerte qui te préviennent par mail de ces MAJ.
Me souviens plus bien comment mais il en a déjà été question ici.