Attaque DOS ?

Le
JG
Bonjour,
Je ne suis pas sûr d'être au bon endroit, mais sait-on jamais
Dernièrement, deux de mes serveurs hébergeant des sites ont subit des
coupures pendant 1 heure ou 2.
Les serveurs ne répondaient au ping que très rarement, avec des temps de
réponse très long, puis tout est revenu à la normale d'un coup.
On m'a suggeré que cela pouvait être des attaques DOS.
D'après ce que j'en ai lu, ces attaques ciblent les serveurs web, donc IIS
dans mon cas.
Connaissez-vous un moyen de se prémunir contre ce genre de désagrément ? Un
firewall ?
J'ai quelques craintes à installer un firewall sur un serveur dédié, car
j'ai peur de ne plus pouvoir y accéder

Merci de votre aide
Jean-Guillaume.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
oLaFKeWL
Le #11333841
JG a écrit :
Bonjour,
Je ne suis pas sûr d'être au bon endroit, mais sait-on jamais...
Dernièrement, deux de mes serveurs hébergeant des sites ont subit des
coupures pendant 1 heure ou 2.
Les serveurs ne répondaient au ping que très rarement, avec des temps de
réponse très long, puis tout est revenu à la normale d'un coup.
On m'a suggeré que cela pouvait être des attaques DOS.



C'est possible

D'après ce que j'en ai lu, ces attaques ciblent les serveurs web, donc IIS
dans mon cas.



Pas seulement les serveurs web.

Connaissez-vous un moyen de se prémunir contre ce genre de désagrément ? Un
firewall ?



Oui, mais contre une vrai grosse attaque DOS cela n'empechera pas grand
chose

J'ai quelques craintes à installer un firewall sur un serveur dédié, car
j'ai peur de ne plus pouvoir y accéder...



Il faut surtout deja verifier les logs pour voir ce qu'il s'est vraiment
passé !
Alexis
Le #11333831
> Oui, mais contre une vrai grosse attaque DOS cela n'empechera pas grand
chose



Je sais pas si c'était une vraie grosse attaque, mais déjà si ça peu t
bloquer les "petites" :)
Et ça m'étonne qu'il n'y ait aucune parade.


Il faut surtout deja verifier les logs pour voir ce qu'il s'est vraiment
  passé !


Dans les logs (Event viewer de windows) je n'ai absolument rien vu de
suspect. Il y a peut-être d'autres logs à vérifier ?
Je crois que j'ai désactivé les logs d'IIS, c'était peut-être pas un e
bonne idée...
jbongran
Le #11333821
"Alexis" news:
Oui, mais contre une vrai grosse attaque DOS cela n'empechera pas grand
chose



Je sais pas si c'était une vraie grosse attaque, mais déjà si ça peut
bloquer les "petites" :)
Et ça m'étonne qu'il n'y ait aucune parade.


Il faut surtout deja verifier les logs pour voir ce qu'il s'est vraiment
passé !


Dans les logs (Event viewer de windows) je n'ai absolument rien vu de
suspect. Il y a peut-être d'autres logs à vérifier ?
Je crois que j'ai désactivé les logs d'IIS, c'était peut-être pas une
bonne idée...


Alors déjà quelle version de IIS (en dessous de la 6, il faut installer
urlscan http://www.microsoft.com/technet/security/tools/urlscan.mspx)
Ps: il peut effectivement s'agir d'une attaques dos mais pour faire "taire"
un ping ce doit être un ddos
http://www.securiteinfo.com/attaques/hacking/ddos.shtml
Une machine directement sur internet sans firewall c'est, excuses moi de te
le dire, du grand n'importe quoi !
Si tu y accèdes via TS, laisse le port 3389 TCP ouvert depuis l'IP publique
depuis laquelle tu administre
Via VNC se sera le port 5900 TCP, là encore limiter cette accès seulement à
l'IP publique depuis laquelle tu administre le serveur...
Pour IIS le plus simple pour commencer est d'autoriser l'exécutable
inetinfo.exe
En ce qui concerne les logs de IIS, je te conseille de les remettre sur au
moins le site par défaut (si tu as plusieurs sites web) puisque c'est celui
qui prendra toutes les attaques dépourvues de nom d'entête...

Un coup de ton moteur de recherche préféré avec "ddos protect windows 2003"
devrait te donner quelques liens intéressants.

PS: Pour IIS il y a eu des attaques appelées à tort (à mon avis) DOS qui
consistaient à exploiter certaines failles en espérant pouvoir appeler
cmd.exe pour exécuter des commandes plus ou moins destructrices. Ces failles
ont été corrigées et donc ne devraient pas poser de souci sur une machine à
jour (http://update.microsoft.com)
Alexis
Le #11333811
> Alors déjà quelle version de IIS (en dessous de la 6, il faut installe r
urlscanhttp://www.microsoft.com/technet/security/tools/urlscan.mspx)
Ps: il peut effectivement s'agir d'une attaques dos mais pour faire "taire "
un ping ce doit être un ddoshttp://www.securiteinfo.com/attaques/hacking /ddos.shtml




C'est IIS 6.
Merci pour le lien et l'info.


Une machine directement sur internet sans firewall c'est, excuses moi de t e
le dire, du grand n'importe quoi !



Mais tu veux dire que le firewall de microsoft n'est pas suffisant ?
Il est bien activé et ouvre uniquement les ports utiles.


Si tu y accèdes via TS, laisse le port 3389 TCP ouvert depuis l'IP publi que
depuis laquelle tu administre
Via VNC se sera le port 5900 TCP, là encore limiter cette accès seulem ent à
l'IP publique depuis laquelle tu administre le serveur...



J'utilise remote administrator sur le port 5900, et malheureusement
j'ai pas une IP fixe, ce qui complique un peu la tâche pour limiter
l'accès à mon IP.

Pour IIS le plus simple pour commencer est d'autoriser l'exécutable
inetinfo.exe
En ce qui concerne les logs de IIS, je te conseille de les remettre sur au
moins le site par défaut (si tu as plusieurs sites web) puisque c'est ce lui
qui prendra toutes les attaques dépourvues de nom d'entête...




C'est ce que j'ai fait hier soir.
Je pense qu'effectivement c'est lié à un site sur ce serveur, car
j'avais eu une attaque de ce genre sur un autre serveur, à l'époque où
les sites y étaient. Puis j'ai transférés les sites sur celui-là, et
quelques jours plus tard c'est celui-là qui subit l'attaque.

Un coup de ton moteur de recherche préféré avec "ddos protect window s 2003"
devrait te donner quelques liens intéressants.



Par exemple des logiciels de protection? des méthodes? Apparemment
c'est difficile de contrer ces attaques même pour un administrateur
confirmé, alors pour un newbie...

PS: Pour IIS il y a eu des attaques appelées à tort (à mon avis) DOS qui
consistaient à exploiter certaines failles en espérant pouvoir appeler
cmd.exe pour exécuter des commandes plus ou moins destructrices. Ces fai lles
ont été corrigées et donc ne devraient pas poser de souci sur une ma chine à
jour (http://update.microsoft.com)



Le serveur est bien à jour du point de vue de l'update microsoft.
Et maintenant que j'y pense, quand j'ai pu reprendre la main sur le
serveur, j'ai trouvé le processus php-win.exe en pleine bourre (50% du
processeur, sachant que c'est un double core). Ca n'est certainement
pas une coincidence.

Merci pour ta réponse.
jbongran
Le #11333801
"Alexis" news:
[...]

Une machine directement sur internet sans firewall c'est, excuses moi de
te
le dire, du grand n'importe quoi !


Mais tu veux dire que le firewall de microsoft n'est pas suffisant ?
Il est bien activé et ouvre uniquement les ports utiles.

[...]

En ce qui concerne les logs de IIS, je te conseille de les remettre sur au
moins le site par défaut (si tu as plusieurs sites web) puisque c'est
celui
qui prendra toutes les attaques dépourvues de nom d'entête...




C'est ce que j'ai fait hier soir.
Je pense qu'effectivement c'est lié à un site sur ce serveur, car
j'avais eu une attaque de ce genre sur un autre serveur, à l'époque où
les sites y étaient. Puis j'ai transférés les sites sur celui-là, et
quelques jours plus tard c'est celui-là qui subit l'attaque.

Un coup de ton moteur de recherche préféré avec "ddos protect windows
2003"
devrait te donner quelques liens intéressants.



Par exemple des logiciels de protection? des méthodes? Apparemment
c'est difficile de contrer ces attaques même pour un administrateur
confirmé, alors pour un newbie...

PS: Pour IIS il y a eu des attaques appelées à tort (à mon avis) DOS qui
consistaient à exploiter certaines failles en espérant pouvoir appeler
cmd.exe pour exécuter des commandes plus ou moins destructrices. Ces
failles
ont été corrigées et donc ne devraient pas poser de souci sur une machine
à
jour (http://update.microsoft.com)



Le serveur est bien à jour du point de vue de l'update microsoft.
Et maintenant que j'y pense, quand j'ai pu reprendre la main sur le
serveur, j'ai trouvé le processus php-win.exe en pleine bourre (50% du
processeur, sachant que c'est un double core). Ca n'est certainement
pas une coincidence.

Merci pour ta réponse.

Souci de Quote dans windows Mail, donc je répond dessous, désolé.
Le firewall MS suffit, ce n'est en fait pas lui qui va te protéger des
attaques de type Déni De Service
Dommage pour l'IP qui n'est pas fixe, aujourd'hui nombre de FAI te la donne
en standard, quelques autres la propose en option. Si c'est possible et si
la sécurité est quelque chose que tu estimes nécessaire, demande une IP
fixe, ce qui te permettra de restreindre d'où l'on peut administrer ton
serveur.
Pour commencer à se protéger des attaques de DOS:
http://support.microsoft.com/kb/324270

A priori, au vu de l'énoncé, je pencherai plutôt pour un souci de
l'application qui fait tourner le site en question.
Les 50 % de CPU (sur un double core cela doit vouloir dire un thread qui
prend 100% d'un des core) traduisent à mon sens un process bloqué ou une
boucle infinie dans le code.
Réactiver les logs du site en question pourront t'aider.
En préventif, je mettrai ce site sous "haute surveillance" en le mettant
tout seul dans un pool d'application dédié, et en activant la limite d'usage
de processeur et de ram, et le redémarrage fréquent du pool. Bref tout ce
qui peut limiter la casse.
Pour php vous pourriez essayer la version 5.2.6 ou une version N-1 par
rapport à celle qui tourne en production, ou passer en mode isapi au lieu du
cgi ou encore fastCGI
http://learn.iis.net/page.aspx/272/installing-php-on-windows-vista-with-fastcgi/
Tenez-nous au courant ;-)
Alexis
Le #11333791
> Souci de Quote dans windows Mail, donc je répond dessous, désolé.



Et moi je ne reçois plus les news sur outlook depuis le 1er avril (je
passe par news.tiscali.fr). C'est sans rapport, mais je le signale au
passage au cas quelqu'un saurait quelque chose :)


Le firewall MS suffit, ce n'est en fait pas lui qui va te protéger des
attaques de type Déni De Service
Dommage pour l'IP qui n'est pas fixe, aujourd'hui nombre de FAI te la donn e
en standard, quelques autres la propose en option. Si c'est possible et si
la sécurité est quelque chose que tu estimes nécessaire, demande une IP
fixe, ce qui te permettra de restreindre d'où l'on peut administrer ton
serveur.
Pour commencer à se protéger des attaques de DOS:http://support.micros oft.com/kb/324270



Oui, j'étais déjà plus ou moins tombé sur ce lien ou cette méthode .
J'aime pas trop toucher à la base de registre pour faire des
modifications que je ne comprends pas. Mais si ça vient de microsoft,
ça doit pas être bien méchant.

A priori, au vu de l'énoncé, je pencherai plutôt pour un souci de
l'application qui fait tourner le site en question.



Mais j'ai redémarré le serveur quasiment au début de la supposée
attaque, et ça a repris quelques secondes après le redémarrage. Donc
je pense pas que ça soit une application. En plus j'ai pu reprendre la
main (ping correct) au bout d'une heure, et c'est là que j'ai vu le
process php-win.

Et une autre précision au passage, chez OVH (là où sont mes serveurs
dédiés) les graphes MRTG du serveur n'indiquent aucune activité rése au
pendant "l'orage", ce qui semble un contradictoire avec une attaque
DDOS.

Les 50 % de CPU (sur un double core cela doit vouloir dire un thread qui
prend 100% d'un des core) traduisent à mon sens un process bloqué ou u ne
boucle infinie dans le code.
Réactiver les logs du site en question pourront t'aider.



Oui, mais j'espère que ça ne va pas recommencer de sitôt. Malgré ç a,
j'aimerais bien être fixé.

En préventif, je mettrai ce site sous "haute surveillance" en le mettant
tout seul dans un pool d'application dédié, et en activant la limite d 'usage
de processeur et de ram, et le redémarrage fréquent du pool. Bref tout ce
qui peut limiter la casse.



Hum... là c'est un peu du chinois, mais j'ai vu ce genre de choses
dans IIS, je vais enquêter.

Pour php vous pourriez essayer la version 5.2.6 ou une version N-1 par
rapport à celle qui tourne en production, ou passer en mode isapi au lie u du
cgi ou encore fastCGIhttp://learn.iis.net/page.aspx/272/installing-php-on- windows-vista-wi...
Tenez-nous au courant ;-)



PHP tourne actuellement en ISAPI avec la version 5.2.5 et je n'ai
jamais eu de souci jusqu'à présent. Curieux quand même.
Merci ;-)
Alexis
Le #11333781
Pour information, j'ai probablement le fin mot de l'histoire, encore
que... on n'est finalement jamais sûr.
Un gars "s'amuserait" (volontairement ou non) à configurer son serveur
en DHCP et piquerait donc "au hasard" des IP sur le même LAN.
L'hebergeur (OVH) doit s'expliquer sur le fait que ça soit possible,
car ça paraît hallucinant !
Mais il y a effectivement toute une série de serveurs affectés, dont
le mien, avec les symptomes qui sont perte de ping, ou ping très lent,
bref conflit d'adresse...
jbongran
Le #11333771
"Alexis" news:
Pour information, j'ai probablement le fin mot de l'histoire, encore
que... on n'est finalement jamais sûr.
Un gars "s'amuserait" (volontairement ou non) à configurer son serveur
en DHCP et piquerait donc "au hasard" des IP sur le même LAN.
L'hebergeur (OVH) doit s'expliquer sur le fait que ça soit possible,
car ça paraît hallucinant !
Mais il y a effectivement toute une série de serveurs affectés, dont
le mien, avec les symptomes qui sont perte de ping, ou ping très lent,
bref conflit d'adresse...


DHCP, ça m'étonnerait qu'un FAI fasse tourner un DHCP sur le lan des
serveurs.
En revanche rien n'empêche un gars de configurer une adresse IP sup sur son
serveur, et là ce ne peut être que volontaire.
Alexis
Le #11333761
> DHCP, ça m'étonnerait qu'un FAI fasse tourner un DHCP sur le lan des
serveurs.
En revanche rien n'empêche un gars de configurer une adresse IP sup sur son
serveur, et là ce ne peut être que volontaire.



Ah oui, ça m'étonnerait fortement aussi. C'est l'explication
"officielle"...

Ca semble en effet volontaire, à moins que ça soit une erreur de
manip. Mais apparemment à chaque fois que ça arrive, il y a plusieurs
serveurs concernés, ce qui signifie que ce gars s'amuse à configurer
plusieurs IP (au hasard? mmm...)
Je ne sais pas quelle peut être la marge de manoeuvre de l'hebergeur
dans ce cas, à part retrouver le fautif et lui couper son serveur.
Publicité
Poster une réponse
Anonyme