Attaque DOS ?
Le
JG
Bonjour,
Je ne suis pas sûr d'être au bon endroit, mais sait-on jamais
Dernièrement, deux de mes serveurs hébergeant des sites ont subit des
coupures pendant 1 heure ou 2.
Les serveurs ne répondaient au ping que très rarement, avec des temps de
réponse très long, puis tout est revenu à la normale d'un coup.
On m'a suggeré que cela pouvait être des attaques DOS.
D'après ce que j'en ai lu, ces attaques ciblent les serveurs web, donc IIS
dans mon cas.
Connaissez-vous un moyen de se prémunir contre ce genre de désagrément ? Un
firewall ?
J'ai quelques craintes à installer un firewall sur un serveur dédié, car
j'ai peur de ne plus pouvoir y accéder
Merci de votre aide
Jean-Guillaume.
Je ne suis pas sûr d'être au bon endroit, mais sait-on jamais
Dernièrement, deux de mes serveurs hébergeant des sites ont subit des
coupures pendant 1 heure ou 2.
Les serveurs ne répondaient au ping que très rarement, avec des temps de
réponse très long, puis tout est revenu à la normale d'un coup.
On m'a suggeré que cela pouvait être des attaques DOS.
D'après ce que j'en ai lu, ces attaques ciblent les serveurs web, donc IIS
dans mon cas.
Connaissez-vous un moyen de se prémunir contre ce genre de désagrément ? Un
firewall ?
J'ai quelques craintes à installer un firewall sur un serveur dédié, car
j'ai peur de ne plus pouvoir y accéder
Merci de votre aide
Jean-Guillaume.
Poser une question
C'est possible
Pas seulement les serveurs web.
Oui, mais contre une vrai grosse attaque DOS cela n'empechera pas grand
chose
Il faut surtout deja verifier les logs pour voir ce qu'il s'est vraiment
passé !
Je sais pas si c'était une vraie grosse attaque, mais déjà si ça peu t
bloquer les "petites" :)
Et ça m'étonne qu'il n'y ait aucune parade.
Dans les logs (Event viewer de windows) je n'ai absolument rien vu de
suspect. Il y a peut-être d'autres logs à vérifier ?
Je crois que j'ai désactivé les logs d'IIS, c'était peut-être pas un e
bonne idée...
Je sais pas si c'était une vraie grosse attaque, mais déjà si ça peut
bloquer les "petites" :)
Et ça m'étonne qu'il n'y ait aucune parade.
Dans les logs (Event viewer de windows) je n'ai absolument rien vu de
suspect. Il y a peut-être d'autres logs à vérifier ?
Je crois que j'ai désactivé les logs d'IIS, c'était peut-être pas une
bonne idée...
Alors déjà quelle version de IIS (en dessous de la 6, il faut installer
urlscan http://www.microsoft.com/technet/se...lscan.mspx)
Ps: il peut effectivement s'agir d'une attaques dos mais pour faire "taire"
un ping ce doit être un ddos
http://www.securiteinfo.com/attaque...ddos.shtml
Une machine directement sur internet sans firewall c'est, excuses moi de te
le dire, du grand n'importe quoi !
Si tu y accèdes via TS, laisse le port 3389 TCP ouvert depuis l'IP publique
depuis laquelle tu administre
Via VNC se sera le port 5900 TCP, là encore limiter cette accès seulement à
l'IP publique depuis laquelle tu administre le serveur...
Pour IIS le plus simple pour commencer est d'autoriser l'exécutable
inetinfo.exe
En ce qui concerne les logs de IIS, je te conseille de les remettre sur au
moins le site par défaut (si tu as plusieurs sites web) puisque c'est celui
qui prendra toutes les attaques dépourvues de nom d'entête...
Un coup de ton moteur de recherche préféré avec "ddos protect windows 2003"
devrait te donner quelques liens intéressants.
PS: Pour IIS il y a eu des attaques appelées à tort (à mon avis) DOS qui
consistaient à exploiter certaines failles en espérant pouvoir appeler
cmd.exe pour exécuter des commandes plus ou moins destructrices. Ces failles
ont été corrigées et donc ne devraient pas poser de souci sur une machine à
jour (http://update.microsoft.com)
C'est IIS 6.
Merci pour le lien et l'info.
Mais tu veux dire que le firewall de microsoft n'est pas suffisant ?
Il est bien activé et ouvre uniquement les ports utiles.
J'utilise remote administrator sur le port 5900, et malheureusement
j'ai pas une IP fixe, ce qui complique un peu la tâche pour limiter
l'accès à mon IP.
C'est ce que j'ai fait hier soir.
Je pense qu'effectivement c'est lié à un site sur ce serveur, car
j'avais eu une attaque de ce genre sur un autre serveur, à l'époque où
les sites y étaient. Puis j'ai transférés les sites sur celui-là, et
quelques jours plus tard c'est celui-là qui subit l'attaque.
Par exemple des logiciels de protection? des méthodes? Apparemment
c'est difficile de contrer ces attaques même pour un administrateur
confirmé, alors pour un newbie...
Le serveur est bien à jour du point de vue de l'update microsoft.
Et maintenant que j'y pense, quand j'ai pu reprendre la main sur le
serveur, j'ai trouvé le processus php-win.exe en pleine bourre (50% du
processeur, sachant que c'est un double core). Ca n'est certainement
pas une coincidence.
Merci pour ta réponse.
[...]
Mais tu veux dire que le firewall de microsoft n'est pas suffisant ?
Il est bien activé et ouvre uniquement les ports utiles.
[...]
C'est ce que j'ai fait hier soir.
Je pense qu'effectivement c'est lié à un site sur ce serveur, car
j'avais eu une attaque de ce genre sur un autre serveur, à l'époque où
les sites y étaient. Puis j'ai transférés les sites sur celui-là, et
quelques jours plus tard c'est celui-là qui subit l'attaque.
Par exemple des logiciels de protection? des méthodes? Apparemment
c'est difficile de contrer ces attaques même pour un administrateur
confirmé, alors pour un newbie...
Le serveur est bien à jour du point de vue de l'update microsoft.
Et maintenant que j'y pense, quand j'ai pu reprendre la main sur le
serveur, j'ai trouvé le processus php-win.exe en pleine bourre (50% du
processeur, sachant que c'est un double core). Ca n'est certainement
pas une coincidence.
Merci pour ta réponse.
Souci de Quote dans windows Mail, donc je répond dessous, désolé.
Le firewall MS suffit, ce n'est en fait pas lui qui va te protéger des
attaques de type Déni De Service
Dommage pour l'IP qui n'est pas fixe, aujourd'hui nombre de FAI te la donne
en standard, quelques autres la propose en option. Si c'est possible et si
la sécurité est quelque chose que tu estimes nécessaire, demande une IP
fixe, ce qui te permettra de restreindre d'où l'on peut administrer ton
serveur.
Pour commencer à se protéger des attaques de DOS:
http://support.microsoft.com/kb/324270
A priori, au vu de l'énoncé, je pencherai plutôt pour un souci de
l'application qui fait tourner le site en question.
Les 50 % de CPU (sur un double core cela doit vouloir dire un thread qui
prend 100% d'un des core) traduisent à mon sens un process bloqué ou une
boucle infinie dans le code.
Réactiver les logs du site en question pourront t'aider.
En préventif, je mettrai ce site sous "haute surveillance" en le mettant
tout seul dans un pool d'application dédié, et en activant la limite d'usage
de processeur et de ram, et le redémarrage fréquent du pool. Bref tout ce
qui peut limiter la casse.
Pour php vous pourriez essayer la version 5.2.6 ou une version N-1 par
rapport à celle qui tourne en production, ou passer en mode isapi au lieu du
cgi ou encore fastCGI
http://learn.iis.net/page.aspx/272/...h-fastcgi/
Tenez-nous au courant ;-)