Vincent Haverlant wrote: > > Salut, > Apr�s quelques tests, voici 2 �l�ments. > - Sle syst�me utilise d�j� des regles pour fermer/ouvrir des ports > comme un firewall standard, et en particulier s'il y a une regle pour > accepter les connection � destination du port 80, il faut Ins�rer la > regle de filtrage de root.exe avant celle qui accepte le paquet. En > effet la les regles sont v�rifi�es une par une jusqu'� ce qu'une > regle corresponde au paquet. On rique donc que les paquets contenant > 'root.exe' soient accept�s avant d'attendre la regle de rejet. > - Apr�s quelques tests, il apparait effectivement que la connection > n'est pas ferm�e du cot� apache, je me suis donc retrouv� avec 21 > sockets en �tat ESTABLISHED (lsof -i | grep apache | grep > ESTABLISHED) au moment ou un site infect� faisait ses requ�tes. > > Le temps d'�crire ce mail et les connections sont ferm�es. Question: y > a-t-il une mani�re de parametrer apache pour fermer vite les sockets > inactives ? Est-ce une solution viable ? >
La connexion au serveur s'etablie en plusieurs temps : Le client envoie un paquet de demande de connexion (sync) au serveur pour le port 80. Le serveur reponds OK (ACK). Le client reponds OK (ACK). (A ce point la connexion est ouverte) Le client envoie la requete "verolee" : GET "/winnt/system/.../root.exe" A ce moment le firewall bloque la connexion avec le client dit "verole" ou pire un proxi. Apache n'etant pas informe par le firewall, attend la requete du client en fonction d'un timeout defini dans la configuration par la directive "Timeout". Si plusieurs clients effectuent une requete "verolee" pendant ce timeout, Apache va attribue d'autre instance a la gestion de ces requetes, et ce jusqu'a la valeur "MaxClient". Diminuer le timeout peut etre genant lors de faible debit. Pour moi, une solution serait que le firewall (iptable) modifie le paquet "verole" en paquet de fin de connexion (RST) est l'envoie au serveur. -- ============================================== | FREDERIC MASSOT | | http://www.juliana-multimedia.com | | mailto:[EMAIL PROTECTED] | ===========================Debian=GNU/Linux===
