Le Sun, 8 Jun 2014 18:29:41 +0200, Philippe Gras <[email protected]> a écrit :
> Le 8 juin 14 à 17:57, Francois Lafont a écrit : > > > Juste pour conclure, je voulais ajouter ceci. Juste après un : > > > > iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP > > iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP > > > > *pendant* l'attaque, il est tout à fait possible que ton serveur > > apache soit encore dans les choux. En effet, avant la mise en > > place des règles ci-dessus, des requêtes http étaient sûrement > > en cours et celles-là ton apache souhaite les honorer. Du coup, > > ton apache envoie tant bien que mal ses réponses aux méchants > > hôtes 72.44.248.136 et 66.23.229.10. Normalement, les 2 méchants > > sont censés envoyer un paquet d'acquittement comme quoi ils ont > > bien reçu la réponse du serveur. Mais ces paquets d'acquittement > > ne peuvent plus arriver car les 2 règles ci-dessus l'empêchent. > > Du coup, apache2 cherche à renvoyer à nouveau ses réponses etc. > > Et du coup, il continue à être dans les choux pendant un certain > > temps. > > Oui, c'est très possible. J'ai pensé à autre chose aussi, par > rapport à ce > que François réfute, c'est que j'ai aussi une règle dans mon > firewall qui > empêche les connexions établies d'être cassées. Il serait possible que > je sois obligé de demander expressément de casser celles-là, et l'une > après l'autre. Car l'attaquant n'en utilisait qu'une seule à la fois. > > > > En revanche, avec un truc du genre : > > > > 1. invoke-rc.d apache2 stop # on arrête toutes les connexions en > > cours. > > > Oui, mais je marche avec NginX d'une part, et comme j'étais dessus > aussi, > je n'avais pas envie de me bannir moi-même. > > Ceci dit, j'avais installé précédemment un module limiteur qui > existe sur le > serveur NginX, mais ça n'a pas vraiment gêné le mec pour attaquer. > > 2. > > iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP > > iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP > > > > 3. > > invoke-rc.d apache2 start > > > > il me semble que ton apache2 est serein aussitôt après et > > les 2 méchants hôtes ne peuvent plus l'embêter. > > J'ai l'impression qu'on était tous les 2 chacun de notre côté à > contrer l'autre, > et après que je l'ai eu droppé une première fois, il est revenu avec > l'autre IP. > > > > -- > > François Lafont bonjour, serait-il possible d'indiquer la liste des paquets installés pour se protéger des attaques en installant : -a) denyhost -b) portsentry slt bernard -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: https://lists.debian.org/20140609192901.7ecc2d95@hamtaro
