Vincent Haverlant wrote:
Salut,
Après quelques tests, voici 2 éléments.
- Sle système utilise déjà des regles pour fermer/ouvrir des ports
comme un firewall standard, et en particulier s'il y a une regle pour
accepter les connection à destination du port 80, il faut Insérer la
regle de filtrage de root.exe avant celle qui accepte le paquet. En
effet la les regles sont vérifiées une par une jusqu'à ce qu'une
regle corresponde au paquet. On rique donc que les paquets contenant
'root.exe' soient acceptés avant d'attendre la regle de rejet.
- Après quelques tests, il apparait effectivement que la connection
n'est pas fermée du cotè apache, je me suis donc retrouvé avec 21
sockets en état ESTABLISHED (lsof -i | grep apache | grep
ESTABLISHED) au moment ou un site infecté faisait ses requètes.
Le temps d'écrire ce mail et les connections sont fermées. Question: y
a-t-il une manière de parametrer apache pour fermer vite les sockets
inactives ? Est-ce une solution viable ?
La connexion au serveur s'etablie en plusieurs temps :
Le client envoie un paquet de demande de connexion (sync) au serveur
pour le port 80.
Le serveur reponds OK (ACK).
Le client reponds OK (ACK).
(A ce point la connexion est ouverte)
Le client envoie la requete verolee : GET /winnt/system/.../root.exe
A ce moment le firewall bloque la connexion avec le client dit verole
ou pire un proxi.
Apache n'etant pas informe par le firewall, attend la requete du client
en fonction d'un timeout defini dans la configuration par la directive
Timeout.
Si plusieurs clients effectuent une requete verolee pendant ce
timeout, Apache va attribue d'autre instance a la gestion de ces
requetes, et ce jusqu'a la valeur MaxClient.
Diminuer le timeout peut etre genant lors de faible debit.
Pour moi, une solution serait que le firewall (iptable) modifie le
paquet verole en paquet de fin de connexion (RST) est l'envoie au
serveur.
--
==
| FREDERIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto:[EMAIL PROTECTED] |
===Debian=GNU/Linux===
