bonjour,

apres avoir parcouru ici et là pour glaner des infos, j’en suis revenu a vous, les experts afin de m’aider à résoudre une enigme.

chaque script php (même le php(info) voire le simple “hello”) met environ 40 secondes (parfois que 20^^) à s’afficher (avec ie … sinon rien avec firefox). le cpu consomme 12%, mysql <1%. inspection des tables…RAS.

debian 6.0 … la dernier en date
apache2 + mysql5.1 + php5 (3xxx)

alors je me demande ce qui peut bien le ralentir comme ça à chaque lancement de script … tenez, essayer :

46.105.124.60/php.php

alors des que je passe sur un script un peu plus lourd … je passe à la minute !
une fois le script executé, je peux naviguer à l’interieur de mes pages normalement. puis, 3 minutes plus tard… nouveau ralentissement lors du chargement de la page index…

voilà … si une ame charitable ou si niloo passe par là (l’est gentil ce garçon) … bref …ça serait sympa !

sinon … reinstall apache … pourquoi pas ? mais … suis pas trop sur de ce que je fais alors … vos avis d’abord !

merci a tous ^^

++ spyker

Déjà c’est quel PHP qui est utilisé ? module Apache, CGI, FastCGI, … ?

Salut,

Tu as regardé les logs ?
Tu ne devrais pas mettre ton ip en clair…

alors là … il m’épate ! je lui donne le php info et … il me demande ? alors qu’il a tout dedans ?

oh … l’est fatigué le modo … allez, c’est la fin de la semaine… on respire, on profite, et … on s’dit quoi !
PHP Version 5.3.3-7+squeeze14
apache2
cgi 1.1

alors pour les logs … rien a signaler. apache, syslog etc…
mysql est tres correct et pas d’erreur

euh … je dois avoir un regex (pour l’adresse ip^^)

d’autres choses qui pourraient vous éclairer ?

Salut,

Ce serait intéressant si on pouvait y accéder…

[quote]L’URL demandée n’a pu être chargée
En essayant de charger l’URL : 46.105.124.60/php.php
L’erreur suivante a été rencontrée :
Réponse de taille nulle
Squid n’a reçu aucune donnée pour cette requête.[/quote]

Avec elinks:

[quote]
âââââââââââââââââââââââââ Erreur âââââââââââââââââââââââââ
â â
â Incapable de récupérer 46.105.124.60/php.php: â
â â
â Erreur de lecture sur le socket â
â â
â [ OK ] â
ââââââââââââââââââââââââââââââââââââââââââââââââââââââââââ[/quote]

Donnes nous les versions complètes svp (avec apt-cache policy)

Et n’oublie pas ma première question:

alors là … il m’épate ! je lui donne le php info et … il me demande ? alors qu’il a tout dedans ?[/quote]
Si je t’ai posé la question c’est bien parce que je n’ai pas pu la charger cette page…

mais comment ils s’en sortent ! !

bon… avec ie8 j’arrive a afficher les pages. avec mozilla …que nenni
apt-cache policy
Fichiers du paquet :
100 /var/lib/dpkg/status
release a=now
500 ftp.fr.debian.org/debian/ squeeze-updates/non-free i386 Packages
release o=Debian,a=stable-updates,n=squeeze-updates,l=Debian,c=non-free
origin ftp.fr.debian.org
500 ftp.fr.debian.org/debian/ squeeze-updates/contrib i386 Packages
release o=Debian,a=stable-updates,n=squeeze-updates,l=Debian,c=contrib
origin ftp.fr.debian.org
500 ftp.fr.debian.org/debian/ squeeze-updates/main i386 Packages
release o=Debian,a=stable-updates,n=squeeze-updates,l=Debian,c=main
origin ftp.fr.debian.org
500 security.debian.org/ squeeze/updates/non-free i386 Packages
release v=6.0,o=Debian,a=stable,n=squeeze,l=Debian-Security,c=non-free
origin security.debian.org
500 security.debian.org/ squeeze/updates/contrib i386 Packages
release v=6.0,o=Debian,a=stable,n=squeeze,l=Debian-Security,c=contrib
origin security.debian.org
500 security.debian.org/ squeeze/updates/main i386 Packages
release v=6.0,o=Debian,a=stable,n=squeeze,l=Debian-Security,c=main
origin security.debian.org
500 mirror.ovh.net/debian/ squeeze/main Translation-fr
500 mirror.ovh.net/debian/ squeeze/main i386 Packages
release v=6.0.6,o=Debian,a=stable,n=squeeze,l=Debian,c=main
origin mirror.ovh.net
500 ftp.fr.debian.org/debian/ squeeze/main Translation-fr
500 ftp.fr.debian.org/debian/ squeeze/non-free i386 Packages
release v=6.0.6,o=Debian,a=stable,n=squeeze,l=Debian,c=non-free
origin ftp.fr.debian.org
500 ftp.fr.debian.org/debian/ squeeze/contrib i386 Packages
release v=6.0.6,o=Debian,a=stable,n=squeeze,l=Debian,c=contrib
origin ftp.fr.debian.org
500 ftp.fr.debian.org/debian/ squeeze/main i386 Packages
release v=6.0.6,o=Debian,a=stable,n=squeeze,l=Debian,c=main
origin ftp.fr.debian.org

bien … ça en dit des choses que j’comprends rin du tout ^^ mais rin de rin !

et à vous ?

Re,

On suppose que tu as installé apache et php et que n’as pas touché à leur fichier de configuration, et que tu as redémarré le serveur apache (/etc/init.d/apache2 restart).
On sait que, d’après ton ip, tu est sur un serveur kimsufi. (nslookup ton_ip), et que le pointage de type a est ok (dig a ton_ns_kimsufi +short).

Maintenant, dans cette configuration de base, si tu n’as pas de nom de domaine, et que tu veux accéder une page web à partir de l’ip du serveur, tu dois créer une page web en tant que root dans /var/www/, puis lui donner des droits de lecture (chmod u=rwx, g=rx, o=rx).
=>Est-ce que c’est le cas ? parce que si c’est le cas, la page 46.105.124.60/ doit afficher It Works ! de apache.

-Copie-colle ici le code source de php.php

-Et que retourne iptables -L -v -n ?

[quote=“fluo”]Re,

On suppose que tu as installé apache et php et que n’as pas touché à leur fichier de configuration, et que tu as redémarré le serveur apache (/etc/init.d/apache2 restart).[/quote]

ben si ^^ j’ai quand même rajouté du mumble serveur alors… le php ini a été modifié ^^ mais… il y a 1 ans déjà ! et le problème n’existe que depuis 10 jours …

[quote=“fluo”]Maintenant, dans cette configuration de base, si tu n’as pas de nom de domaine, et que tu veux accéder une page web à partir de l’ip du serveur, tu dois créer une page web en tant que root dans /var/www/, puis lui donner des droits de lecture (chmod u=rwx, g=rx, o=rx).
=>Est-ce que c’est le cas ? parce que si c’est le cas, la page 46.105.124.60/ doit afficher It Works ! de apache.[/quote]

il y a plusieurs scripts php … le ‘it works’ de apache a depuis longtemps disparu a leur profit et de plus, il y a un htacces de redirection vers le script principal du serveur web ! les autres, le php.php par exemple ne contient rien de spécial, son source n’étant autre que le phpinfo() ^^

iptables -L -v -n
Chain INPUT (policy ACCEPT 193M packets, 101G bytes)
pkts bytes target prot opt in out source destination
666K 209M W00t tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 186M packets, 47G bytes)
pkts bytes target prot opt in out source destination

Chain W00t (1 references)
pkts bytes target prot opt in out source destination
26344 1478K tcp – * * 0.0.0.0/0 0.0.0.0/0 recent: SET name: DEFAULT side: source tcp dpt:80 flags:0x17/0x02
0 0 tcp – * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE name: DEFAULT side: source tcp spt:80 flags:0x1A/0x12
452K 146M tcp – * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE name: DEFAULT side: source tcp dpt:80 flags:0x1A/0x10
1149 98814 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 recent: UPDATE name: DEFAULT side: source tcp dpt:80 flags:0x18/0x18 STRING match “GET /w00tw00t.at.ISC.SANS.” ALGO name bm TO 70

63805 30M DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 recent: REMOVE name: DEFAULT side: source tcp dpt:80 flags:0x18/0x18 STRING match “Host: 46.105.124.60” ALGO name bm TO 700

voilà voilà … a vrai dire, la derniere m’interpelle … mais comme je suis pas expert… vous allez me dire quoi ^^ … mais je me demande si c’est pas mon regex qui aurait fait fait ?

Salut

[quote=“lol”]Donnes nous les versions complètes svp (avec apt-cache policy)[/quote]apt-cache policy apache2 apt-cache policy php5

[quote=“lol”]Et n’oublie pas ma première question:

[quote=“lol”]Tu as regardé les logs ?[/quote][/quote]Que disent les logs du serveur quand tu essaye d’accéder et que ça rame ?

Nous t’avons dit plusieurs fois que ton serveur n’est pas accessible, ça t’inspire quoi ?
Qui a installé ce serveur ? C’est toi qui le maintien ? La dernière mise à jour date de duand ?
Enfin ton iptables à l’air d’une passoire… Que renvoie iptables -S

Après ça j’arrête.
Donnes des réponses précises SVP, on ne peux pas deviner ce que tu nous caches (Ce que tu penses être évident ne l’est pas forcément pour nous - Nous ne sommes pas devant la machine, nous ne connaissons pas l’historique).

[quote=“lol”]Salut

apt-cache policy apache2 apt-cache policy php5
[/quote]

apt-cache policy apache2 apache2: Installé : 2.2.16-6+squeeze8 Candidat : 2.2.16-6+squeeze8 Table de version : *** 2.2.16-6+squeeze8 0 500 http://ftp.fr.debian.org/debian/ squeeze/main i386 Packages 500 http://mirror.ovh.net/debian/ squeeze/main i386 Packages 100 /var/lib/dpkg/status 2.2.16-6+squeeze7 0 500 http://security.debian.org/ squeeze/updates/main i386 Packages

apt-cache policy php5 php5: Installé : 5.3.3-7+squeeze14 Candidat : 5.3.3-7+squeeze14 Table de version : *** 5.3.3-7+squeeze14 0 500 http://ftp.fr.debian.org/debian/ squeeze/main i386 Packages 500 http://mirror.ovh.net/debian/ squeeze/main i386 Packages 500 http://security.debian.org/ squeeze/updates/main i386 Packages 100 /var/lib/dpkg/status

[quote=“lol”]Et n’oublie pas ma première question:

réponse précise : quels logs souhaites-tu ? tu es expert en info, moi en physique; et ça va pas t’aider de le savoir ^^. donc pose moi une question précise avec un code a executer s’il le faut et tu auras toutes les réponses que tu souhaites pour m’aider

ceux que je connais en te listant les logs “distincts” et inconnus pour moi :

acces.log (quelques exemples)

66.249.76.167 - - [30/Oct/2012:21:54:21 +0100] "-" 408 0 "-" "-" 50.63.182.222 - - [30/Oct/2012:21:58:23 +0100] "-" 408 0 "-" "-" 193.87.99.187 - - [30/Oct/2012:21:58:28 +0100] "-" 408 0 "-" "-" 217.219.255.66 - - [30/Oct/2012:06:22:41 +0100] "GET / HTTP/1.0" 200 716 "-" "-" 46.105.124.60 - - [30/Oct/2012:02:53:27 +0100] "-" 408 0 "-" "-" (celle là... c'est celle du serveur) 77.193.55.137 - - [30/Oct/2012:21:42:29 +0100] "GET /UCT-Stats/playerstats.php?plid=428&serv=1&statsbox=3 HTTP/1.1" 200 293 "http://uct-team.forumforever.com/t1016-wrc-2012.htm?start=150#p14032" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)" 77.193.55.137 - - [30/Oct/2012:21:42:52 +0100] "-" 408 0 "-" "-" (celle-ci est connue et normale… a part le 408)
apres avoir vidé le acces log, je me suis reconnecté sur le script et voici une ligne a répétition qui remplit le acces log …

82.126.164.116 - - [30/Oct/2012:22:45:40 +0100] "GET /Ultimate/mumble/mumble1.php?callback=jsonp1351633443174&_=1351633491156 HTTP/1.1" 200 615 "http://46.105.124.60/Ultimate/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"

sur le other vhosts acces log1

ks224523.kimsufi.com:80 50.63.182.222 - - [30/Oct/2012:19:41:59 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 517 "-" "-" ks224523.kimsufi.com:80 ::1 - - [30/Oct/2012:19:53:08 +0100] "OPTIONS * HTTP/1.0" 200 152 "-" "Apache/2.2.16 (Debian) (internal dummy connection)" ks224523.kimsufi.com:80 50.63.182.222 - - [30/Oct/2012:20:27:01 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 517 "-" "-" ks224523.kimsufi.com:80 ::1 - - [30/Oct/2012:20:47:39 +0100] "OPTIONS * HTTP/1.0" 200 152 "-" "Apache/2.2.16 (Debian) (internal dummy connection)" ks224523.kimsufi.com:80 50.63.182.222 - - [30/Oct/2012:21:12:12 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 517 "-" "-" ks224523.kimsufi.com:80 ::1 - - [30/Oct/2012:21:14:30 +0100] "OPTIONS * HTTP/1.0" 200 152 "-" "Apache/2.2.16 (Debian) (internal dummy connection)" ks224523.kimsufi.com:80 ::1 - - [30/Oct/2012:21:16:08 +0100] "OPTIONS * HTTP/1.0" 200 152 "-" "Apache/2.2.16 (Debian) (internal dummy connection)" ks224523.kimsufi.com:80 ::1 - - [30/Oct/2012:21:18:09 +0100] "OPTIONS * HTTP/1.0" 200 152 "-" "Apache/2.2.16 (Debian) (internal dummy connection)" ks224523.kimsufi.com:80 50.63.182.222 - - [30/Oct/2012:21:58:00 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 517 "-" "-" ks224523.kimsufi.com:80 50.63.182.222 - - [30/Oct/2012:22:20:27 +0100] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 517 "-" "-"

error log -> vide

php5 log -> [30-Oct-2012 22:39:01] PHP Warning:  Module 'ice' already loaded in Unknown on line 0

enfin sur le syslog … a répétition
sur des dizaines de milliers de lignes…

Oct 30 07:54:52 ks224523 postfix/postdrop[21939]: warning: mail_queue_enter: create file maildrop/138168.21939: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[1838]: warning: mail_queue_enter: create file maildrop/141247.1838: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[10500]: warning: mail_queue_enter: create file maildrop/141302.10500: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[3873]: warning: mail_queue_enter: create file maildrop/141347.3873: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[15645]: warning: mail_queue_enter: create file maildrop/187302.15645: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[12220]: warning: mail_queue_enter: create file maildrop/224261.12220: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[7623]: warning: mail_queue_enter: create file maildrop/224263.7623: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[17185]: warning: mail_queue_enter: create file maildrop/224308.17185: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[23501]: warning: mail_queue_enter: create file maildrop/306455.23501: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[17970]: warning: mail_queue_enter: create file maildrop/324479.17970: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[20104]: warning: mail_queue_enter: create file maildrop/345870.20104: Permission denied Oct 30 07:54:52 ks224523 postfix/postdrop[13486]: warning: mail_queue_enter: create file maildrop/373932.13486: Permission denied

strictement rien si ce n’est que j’y accede avec ie8 apres 40 secondes d’attente… bref, qu’il est tres long et que vos navigateurs n’acceptent pas les connexions trop longues (ce qui ne nous avancent pas)

Qui a installé ce serveur ? moi ^^
C’est toi qui le maintien ? oui
La dernière mise à jour date de duand ? connait pas cet energumène…

iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N W00t -A INPUT -p tcp -m tcp --dport 80 -j W00t -A W00t -p tcp -m recent --set --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --sport 80 --tcp-flags SYN,PSH,ACK SYN,ACK -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags SYN,PSH,ACK ACK -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags PSH,ACK PSH,ACK -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP -A W00t -p tcp -m recent --remove --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags PSH,ACK PSH,ACK -m string --string "Host: 46.105.124.60" --algo bm --to 700 -j DROP

[quote]Après ça j’arrête.
Donnes des réponses précises SVP, on ne peux pas deviner ce que tu nous caches (Ce que tu penses être évident ne l’est pas forcément pour nous - Nous ne sommes pas devant la machine, nous ne connaissons pas l’historique).[/quote][/quote][/quote]

ça … je comprends bien. merci a toi ^^

Salut,
Tu t’es un peu embrouillé dans les balises [code] et [quote].
Je remet un peu d’ordre dans ton message, c’est pas trop lisible tel quel.

Salut,

[quote=“spyker”]quels logs souhaites-tu ? tu es expert en info, moi en physique; et ça va pas t’aider de le savoir ^^[/quote]Faut le dire vite…
Il serait intéressant d’avoir les logs apache au moment ou ça déconne…

Dans une console:

Ensuite dans un navigateur essayer d’accéder à ta page php.php.
Tu peux recommencer avec access.log
Les logs récoltés en console à ce moment précis seront peut-être intéressants.

Pour commencer à comprendre les erreurs: debianhelp.co.uk/errorcodes.htm

Les erreurs dans le syslog n’ont pas de rapport avec le problème d’apache, mais il faudra quand même penser à regarder ça, c’est pas normal…

ça c’est pas bien… Un serveur ça se maintient et ça se surveille

Donnes-nous le résultat de la commande suivante: (nous allons faire une simultaion avant de prendre le risque de tout casser: c’est le -s)

apt-get update apt-get -s upgrade

Pour iptables… Je ne sais pas ce que sont ces règles W00t.
Comment est chargé le pare-feu ? Tu as utilisé quel programme ou script ?

Il est possible que ce soit le pare-feu qui bloque ton apache… Mais comme les logs iptables ne sont pas activés et que je ne sais pas quelle gueule a le script qui charge iptables, c’est difficile d’être certain…

Il serait intéressant de vérifier si tu accède à apache en console:

apt-get install elinks elinks http://localhost/php.php

Voilà pour commencer…

bon … je te fais ça ce soir (je constuit 2 terrariums pour mon fils ainé …enfin… pour ses pythons^^)
suis un peu curieux mais … tu fais quoi a Mada ? j’y ai passé un petit séjour sur l’ile sainte marie… que de trop bons souvenirs…

Salut,
Réponse par MP.

[quote=“lol”]Salut,

Dans une console:

[/quote]

[Thu Nov 01 01:08:16 2012] [notice] Apache/2.2.16 (Debian) DAV/2 SVN/1.6.12 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2010-08-16) mod_ssl/2.2.16 OpenSSL/0.9.8o configured -- resuming normal operations

40 secondes chrono … ok

vide^^

vais aller y jeter un oeil…

bien chef !

apt-get update
Atteint http://mirror.ovh.net squeeze Release.gpg
Ign http://mirror.ovh.net/debian/ squeeze/main Translation-en
Atteint http://mirror.ovh.net/debian/ squeeze/main Translation-fr
Atteint http://mirror.ovh.net squeeze Release
Atteint http://ftp.fr.debian.org squeeze Release.gpg
Atteint http://mirror.ovh.net squeeze/main Sources
Atteint http://mirror.ovh.net squeeze/main i386 Packages
Ign http://ftp.fr.debian.org/debian/ squeeze/contrib Translation-en
Ign http://ftp.fr.debian.org/debian/ squeeze/contrib Translation-fr
Ign http://ftp.fr.debian.org/debian/ squeeze/main Translation-en
Atteint http://ftp.fr.debian.org/debian/ squeeze/main Translation-fr
Ign http://ftp.fr.debian.org/debian/ squeeze/non-free Translation-en
Ign http://ftp.fr.debian.org/debian/ squeeze/non-free Translation-fr
Atteint http://ftp.fr.debian.org squeeze-updates Release.gpg
Ign http://ftp.fr.debian.org/debian/ squeeze-updates/contrib Translation-en
Ign http://ftp.fr.debian.org/debian/ squeeze-updates/contrib Translation-fr
Ign http://ftp.fr.debian.org/debian/ squeeze-updates/main Translation-en
Ign http://ftp.fr.debian.org/debian/ squeeze-updates/main Translation-fr
Ign http://ftp.fr.debian.org/debian/ squeeze-updates/non-free Translation-en
Ign http://ftp.fr.debian.org/debian/ squeeze-updates/non-free Translation-fr
Atteint http://ftp.fr.debian.org squeeze Release
Atteint http://ftp.fr.debian.org squeeze-updates Release
Atteint http://ftp.fr.debian.org squeeze/main Sources
Atteint http://ftp.fr.debian.org squeeze/contrib Sources
Atteint http://ftp.fr.debian.org squeeze/non-free Sources
Atteint http://ftp.fr.debian.org squeeze/main i386 Packages
Atteint http://ftp.fr.debian.org squeeze/contrib i386 Packages
Atteint http://ftp.fr.debian.org squeeze/non-free i386 Packages
Atteint http://ftp.fr.debian.org squeeze-updates/main i386 Packages/DiffIndex
Atteint http://ftp.fr.debian.org squeeze-updates/contrib i386 Packages
Atteint http://ftp.fr.debian.org squeeze-updates/non-free i386 Packages
Atteint http://ftp.fr.debian.org squeeze-updates/main i386 Packages
Atteint http://security.debian.org squeeze/updates Release.gpg
Ign http://security.debian.org/ squeeze/updates/contrib Translation-en
Ign http://security.debian.org/ squeeze/updates/contrib Translation-fr
Ign http://security.debian.org/ squeeze/updates/main Translation-en
Ign http://security.debian.org/ squeeze/updates/main Translation-fr
Ign http://security.debian.org/ squeeze/updates/non-free Translation-en
Ign http://security.debian.org/ squeeze/updates/non-free Translation-fr
Atteint http://security.debian.org squeeze/updates Release
Atteint http://security.debian.org squeeze/updates/main Sources
Atteint http://security.debian.org squeeze/updates/contrib Sources
Atteint http://security.debian.org squeeze/updates/non-free Sources
Atteint http://security.debian.org squeeze/updates/main i386 Packages
Atteint http://security.debian.org squeeze/updates/contrib i386 Packages
Atteint http://security.debian.org squeeze/updates/non-free i386 Packages
Lecture des listes de paquets... Fait

apt-get -s upgrade
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Les paquets suivants seront mis à jour :
  libssl-dev libssl0.9.8 php5-dev
3 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.
Inst libssl-dev [0.9.8o-4squeeze7] (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) []
Inst libssl0.9.8 [0.9.8o-4squeeze7] (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386])
Inst php5-dev [5.3.3-7+squeeze8] (5.3.3-7+squeeze14 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386])
Conf libssl0.9.8 (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386])
Conf libssl-dev (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386])
Conf php5-dev (5.3.3-7+squeeze14 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386])

j’avais installé fail2ban il y a 10 jours… je l’ai desactivé mais rien de changé.

acces ok ^^

Salut,

[quote=“spyker”][quote]
Tu peux recommencer avec access.log
Les logs récoltés en console à ce moment précis seront peut-être intéressants.
[/quote]vide^^[/quote]Il faut laisser tourner le tail -f /var/log/error ou le tail -f /var/log/access et en même temps accéder à ton site et ton script php pour avoir une sortie. Ou alors tu me donnes la fin des fichiers; ça ne peut pas être vide…

[quote=“spyker”] apt-get -s upgrade Lecture des listes de paquets... Fait Construction de l'arbre des dépendances Lecture des informations d'état... Fait Les paquets suivants seront mis à jour : libssl-dev libssl0.9.8 php5-dev 3 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour. Inst libssl-dev [0.9.8o-4squeeze7] (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) [] Inst libssl0.9.8 [0.9.8o-4squeeze7] (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) Inst php5-dev [5.3.3-7+squeeze8] (5.3.3-7+squeeze14 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) Conf libssl0.9.8 (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) Conf libssl-dev (0.9.8o-4squeeze13 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) Conf php5-dev (5.3.3-7+squeeze14 Debian:6.0.6/stable, Debian-Security:6.0/stable [i386]) [/quote]Tu peux y aller sans le -sapt-get dist-upgrade

j’avais installé fail2ban il y a 10 jours… je l’ai desactivé mais rien de changé.[/quote]
Rien a voir avec fail2ban.

Tu as un script qui lance des régles iptables. Il devrait se trouver dans /etc/init.d
En tout cas, ta machine est une passoire: -P INPUT ACCEPT
Le port 80 est vaguement filtré, mais je ne vois pas trop l’utilité des ces 3/4 règles (Je crois, mais je ne suis pas du tout calé en iptables, qu’il s’agit de protéger le port 80 contre un certain nombre d’attaques). J’ai un doute sur son efficacité et son intérêt…

Il faut trouver ton script d’initialisation du pare-feu.
Il faudrait essayer en ayant remis à zéro iptables (fais une recherche sur flush iptables).
Et il faut créer un vrai pare-feu…

bien ,

j’ai laissé tourner le tail -f le temps d’execution du script php.php même plus ^^

error log
[Thu Nov 01 12:39:45 2012] [notice] Graceful restart requested, doing restart
[Thu Nov 01 12:39:45 2012] [notice] Apache/2.2.16 (Debian) DAV/2 SVN/1.6.12 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze14 with Suhosin-Patch mod_ruby/1.2.6 Ruby/1.8.7(2010-08-16) mod_ssl/2.2.16 OpenSSL/0.9.8o configured -- resuming normal operations

access log
82.126.164.116 - - [01/Nov/2012:12:43:43 +0100] "GET /php.php HTTP/1.1" 200 13627 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.164.116 - - [01/Nov/2012:12:43:43 +0100] "GET /php.php?=SUHO8567F54-D428-14d2-A769-00DA302A5F18 HTTP/1.1" 200 3041 "http://46.105.124.60/php.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.164.116 - - [01/Nov/2012:12:44:04 +0100] "GET /php.php?=PHPE9568F34-D428-11d2-A769-00AA001ACF42 HTTP/1.1" 200 2752 "http://46.105.124.60/php.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
82.126.164.116 - - [01/Nov/2012:12:44:04 +0100] "GET /php.php?=PHPE9568F35-D428-11d2-A769-00AA001ACF42 HTTP/1.1" 200 2374 "http://46.105.124.60/php.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.4; .NET4.0C; InfoPath.2; .NET CLR 2.0.50727; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"[/code]

[quote]Tu as un script qui lance des régles iptables. Il devrait se trouver dans /etc/init.d
[/quote]
le seul script que j'ai installé est fail2ban. jail.conf->
[code] # Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 3600
maxretry = 3

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = ultimate.spyker@gmail.com

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
 
# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

[apache-bloquescan]
enabled = true
port    = http,https
filter  = apache-bloquescan
logpath = /var/log/apache*/*error.log
maxretry = 2
banTime = 3600


[apache-w00tw00t]
enabled = true
filter  = apache-w00tw00t
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/apache*/access.log
maxretry = 2
bantime = 3600


#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 6

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter	= pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = true
port	= http,https
filter	= apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port	  = http,https
filter	  = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

[apache-noscript]

enabled = false
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = true
port	 = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

enabled  = false
port	 = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log


[couriersmtp]

enabled  = false
port	 = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = false
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.log


# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

[named-refused-tcp]

enabled  = false
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/named/security.log

et pour un flush iptable … je vais attendre un peu afin de pouvoir conserver mon acces ssh …

je fais un upgrade

apt-get dist-upgrade

[quote=“spyker”]

-N W00t -A INPUT -p tcp -m tcp --dport 80 -j W00t -A W00t -p tcp -m recent --set --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --sport 80 --tcp-flags SYN,PSH,ACK SYN,ACK -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags SYN,PSH,ACK ACK -A W00t -p tcp -m recent --update --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags PSH,ACK PSH,ACK -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP -A W00t -p tcp -m recent --remove --name DEFAULT --rsource -m tcp --dport 80 --tcp-flags PSH,ACK PSH,ACK -m string --string "Host: 46.105.124.60" --algo bm --to 700 -j DROP[/quote]Ces règles là ne sont pourtant pas venues toutes seules…

Un flush ne te fera pas perdre l’accès SSH (et puis tout est déjà ouvert… ):

[quote=“spyker”]-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT[/quote]Ta machine n’est pas du tout protégée.

voila un des mes filtres par fail2ban …

[code]# - - [11/Jan/2010:14:56:27 +0200] “GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1” 400 326

[Definition]

Option: failregex

Notes.: regex to match the w00tw00t scan messages in the logfile. The

host must be matched by a group named “host”. The tag “” can

be used for standard IP/hostname matching.

Values: TEXT

failregex = ^ -."GET /w00tw00t.at.ISC.SANS.test0:).".*
failregex = ^ -."GET /w00tw00t.at.ISC.SANS.DFind:).".*

Option: ignoreregex

Notes.: regex to ignore. If this regex matches, the line is ignored.

Values: TEXT

ignoreregex =[/code]