Hack site web

jimbo · Février 21, 2016, 9:06pm

Salut il me semble que je subi une attack sur notre site ! j’ai des log étranges qui concorde avec le lancement de plein d’instance Apache et qui termine en saturation de la ram et du CPu :

Dec 2 11:39:14 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:11:38:55 +0100] "GET /certsrv/ HTTP/1.0" 404 14436 "-" "-" Dec 2 11:47:46 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:11:47:24 +0100] "GET /phprojekt/rts/ HTTP/1.0" 404 14442 "-" "-" Dec 2 11:56:07 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:11:55:47 +0100] "GET /phprojekt-3.1/rts/ HTTP/1.0" 404 14446 "-" "-" Dec 2 12:04:42 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:12:04:23 +0100] "GET /phprojekt-3.1a/rts/ HTTP/1.0" 404 14447 "-" "-" Dec 2 12:18:54 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:12:18:43 +0100] "GET /certsrv/certrqxt.asp HTTP/1.0" 404 14448 "-" ";<<<script>QualysTest</script><script>alert('QualysTest')</script>>>" Dec 2 12:45:24 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:12:45:09 +0100] "GET /reports/rwservlet/showmap HTTP/1.0" 404 14453 "-" "-" Dec 2 13:14:40 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:13:14:23 +0100] "GET /news/certsrv/ HTTP/1.0" 404 14449 "-" "-" Dec 2 14:25:15 test httpd: www.monsite.com 192.168.254.60 - - [02/Dec/2014:14:24:56 +0100] "GET /wordpress/certsrv/ HTTP/1.0" 404 14446 "-" "-"

je suis parano et je dois chercher ailleurs ? je cherche pourquoi mon Apache crash. Il essaye de faire tourner un CMS ezpublish.

Merci.

Cluxter · Février 21, 2016, 9:06pm

Commence par installer et configurer ‘fail2ban’. Il bannie automatiquement les IP qui tentent de se connecter trop souvent.

srayneau · Février 21, 2016, 9:06pm

Salut,

ça ressemble surtout à des requêtes faites par un scanner de faille web.

<<>>
ça indique un essais d’exploitation de faille XSS.

Rien de bien méchant visiblement, ça fait partie du jeu d’avoir un serveur sur le web.

Par contre l’ip “192.168.254.60” qui est dans la trace, c’est toi qui la mis pour ne pas montrer la vraie ?
Car c’est une ip privé ça donc dans ton réseau.

jimbo · Février 21, 2016, 9:06pm

merci c’est le test de bots de mon hébergeur, mais ça me fait crasher apache. Mon apache swap déjà pas mal et ces test le mette down définitivement. Je dois comprendre pourquoi il swap et que le swap ne se vide pas.

Clochette · Février 21, 2016, 9:06pm

Vérifie que ce soit bien apache surtout qu’il fasse ‘swapper’ ton serveur et non un mysql gourmand

Dans le cas d’un mysql un peu de ‘tunning’ devrait déjà améliorer les choses.

jimbo · Février 21, 2016, 9:06pm

pour le moment le plus gros c’est Apache :

184.3 MiB + 140.0 KiB = 184.4 MiB mysqld
583.5 MiB + 15.4 MiB = 598.9 MiB apache2 (6)