Le Wed, Sep 26, 2001 at 10:54:30AM +0200, Stephane Leclerc a �crit: [SNIP] | >> # routine iptable pour filtrage http | >> iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string | >> --string 'root.exe' -j REJECT --reject-with tcp-reset | >> | > | > Est-ce que l'option "--reject-with tcp-reset" clos la connexion sur le | > client et sur le serveur ? | > | > Si elle ne clos pas la connexion sur le serveur tu risques de te creer | > un DoS, en epuisant le pool d'instance d'Apache utilisable. | | La connexion oui selon se que j'ai compris mais pas Apache. Comme, je n'ai | pas de serveur online avec iptable, tout cela reste th�orique pour moi.
Salut, Apr�s quelques tests, voici 2 �l�ments. - Sle syst�me utilise d�j� des regles pour fermer/ouvrir des ports comme un firewall standard, et en particulier s'il y a une regle pour accepter les connection � destination du port 80, il faut Ins�rer la regle de filtrage de root.exe avant celle qui accepte le paquet. En effet la les regles sont v�rifi�es une par une jusqu'� ce qu'une regle corresponde au paquet. On rique donc que les paquets contenant 'root.exe' soient accept�s avant d'attendre la regle de rejet. - Apr�s quelques tests, il apparait effectivement que la connection n'est pas ferm�e du cot� apache, je me suis donc retrouv� avec 21 sockets en �tat ESTABLISHED (lsof -i | grep apache | grep ESTABLISHED) au moment ou un site infect� faisait ses requ�tes. Le temps d'�crire ce mail et les connections sont ferm�es. Question: y a-t-il une mani�re de parametrer apache pour fermer vite les sockets inactives ? Est-ce une solution viable ? La discussion devenant passablement off-topic, devons nous migrer sur une autre liste, en priv� ? Vincent -- .~. Vincent Haverlant -- Galadril -- #ICQ: 35695155 /V\ MUD -- FranDUMII sur telnet:frandum.enst.fr:2001 // \\ MaisonPage <http://haverlant.homeip.net> /( )\ Membre de l'AFUL <http://www.aful.org> - ^^-^^ -
