ce matin l'attaque etait tellement violente (env. 3500 connexions en 1/2
heure) que le serveur semblait deborde au point de ne plus repondre a mes
requetes ssh (il est pas bien costaud non plus!).
j'ai coupe la ligne au niveau du FW, et tout est instantanement rentre dans
l'ordre, les tentatives de connexions se sont arretees quasi immediatement
(pas de logs au niveau du FW), j'ai pu rouvrir les vannes et tout semble
ok.
idees sur ce dont il peu s'agir ?
idees sur une maniere de se premunir contre ca ?
merci!
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
[SauroN]
"pascal" a écrit dans le message de news:3f09453c$0$29961$ | bonjour, | | j'ai un petit serveur de test apache/freebsd heberge a la maison avec un ndm | sur dyndns. | | entre deux logs code red (ida? etc), je trouve des lignes du genre | | 80.116.203.23 - - [07/Jul/2003:10:28:49 +0200] "xe3;" 401 - | | ce matin l'attaque etait tellement violente (env. 3500 connexions en 1/2 | heure) que le serveur semblait deborde au point de ne plus repondre a mes | requetes ssh (il est pas bien costaud non plus!). | | j'ai coupe la ligne au niveau du FW, et tout est instantanement rentre dans | l'ordre, les tentatives de connexions se sont arretees quasi immediatement | (pas de logs au niveau du FW), j'ai pu rouvrir les vannes et tout semble | ok. | | idees sur ce dont il peu s'agir ? | idees sur une maniere de se premunir contre ca ? | merci! | | pascal |
tu a du redemarrer ta connexion et reprendre une nouvelle IP.
sinon essaye le wndershaper, ca te permet de reserver tjs une bande passante minimale pour ssh/mail
| -- | Black-ink.net | ...les ecrits restent !
"pascal" <news@black-ink.net> a écrit dans le message de
news:3f09453c$0$29961$4d4eb98e@read.news.fr.uu.net...
| bonjour,
|
| j'ai un petit serveur de test apache/freebsd heberge a la maison avec un
ndm
| sur dyndns.
|
| entre deux logs code red (ida? etc), je trouve des lignes du genre
|
| 80.116.203.23 - - [07/Jul/2003:10:28:49 +0200] "xe3;" 401 -
|
| ce matin l'attaque etait tellement violente (env. 3500 connexions en 1/2
| heure) que le serveur semblait deborde au point de ne plus repondre a mes
| requetes ssh (il est pas bien costaud non plus!).
|
| j'ai coupe la ligne au niveau du FW, et tout est instantanement rentre
dans
| l'ordre, les tentatives de connexions se sont arretees quasi immediatement
| (pas de logs au niveau du FW), j'ai pu rouvrir les vannes et tout semble
| ok.
|
| idees sur ce dont il peu s'agir ?
| idees sur une maniere de se premunir contre ca ?
| merci!
|
| pascal
|
tu a du redemarrer ta connexion et reprendre une nouvelle IP.
sinon essaye le wndershaper, ca te permet de reserver tjs une bande passante
minimale pour ssh/mail
"pascal" a écrit dans le message de news:3f09453c$0$29961$ | bonjour, | | j'ai un petit serveur de test apache/freebsd heberge a la maison avec un ndm | sur dyndns. | | entre deux logs code red (ida? etc), je trouve des lignes du genre | | 80.116.203.23 - - [07/Jul/2003:10:28:49 +0200] "xe3;" 401 - | | ce matin l'attaque etait tellement violente (env. 3500 connexions en 1/2 | heure) que le serveur semblait deborde au point de ne plus repondre a mes | requetes ssh (il est pas bien costaud non plus!). | | j'ai coupe la ligne au niveau du FW, et tout est instantanement rentre dans | l'ordre, les tentatives de connexions se sont arretees quasi immediatement | (pas de logs au niveau du FW), j'ai pu rouvrir les vannes et tout semble | ok. | | idees sur ce dont il peu s'agir ? | idees sur une maniere de se premunir contre ca ? | merci! | | pascal |
tu a du redemarrer ta connexion et reprendre une nouvelle IP.
sinon essaye le wndershaper, ca te permet de reserver tjs une bande passante minimale pour ssh/mail
| -- | Black-ink.net | ...les ecrits restent !
pascal
[SauroN] wrote:
"pascal" a écrit dans le message de
tu a du redemarrer ta connexion et reprendre une nouvelle IP.
peu probable : la connexion ADSL est sur la machine FW/passerelle, distincte du serveur web, et je fais du ssh depuis une autre machine du reseau local, avec IP fixes (par contre, le serveur dns qui resoud les nom interne est sur la meme boite que le serveur web ce qui doit ralentir encore le tout).
en fait, ma question concernait surtout l'origine des requetes bizarres ???
pour l'echec de la connexion ssh, je l'attribue (a tort?) a la surchage pasagere du serveur qui a provoque un timeout dans la negociation de l'identification ssh (timeout vu dans les logs du serveur) ???
sinon essaye le wndershaper, ca te permet de reserver tjs une bande passante minimale pour ssh/mail
m'interresse, mais google ne connait pas. une url (ou une autre orthographe ;) ?
merci,
pascal -- Black-ink.net ...les ecrits restent !
[SauroN] wrote:
"pascal" <news@black-ink.net> a écrit dans le message de
tu a du redemarrer ta connexion et reprendre une nouvelle IP.
peu probable : la connexion ADSL est sur la machine FW/passerelle, distincte
du serveur web, et je fais du ssh depuis une autre machine du reseau local,
avec IP fixes (par contre, le serveur dns qui resoud les nom interne est
sur la meme boite que le serveur web ce qui doit ralentir encore le tout).
en fait, ma question concernait surtout l'origine des requetes bizarres ???
pour l'echec de la connexion ssh, je l'attribue (a tort?) a la surchage
pasagere du serveur qui a provoque un timeout dans la negociation de
l'identification ssh (timeout vu dans les logs du serveur) ???
sinon essaye le wndershaper, ca te permet de reserver tjs une bande
passante minimale pour ssh/mail
m'interresse, mais google ne connait pas. une url (ou une autre orthographe
;) ?
tu a du redemarrer ta connexion et reprendre une nouvelle IP.
peu probable : la connexion ADSL est sur la machine FW/passerelle, distincte du serveur web, et je fais du ssh depuis une autre machine du reseau local, avec IP fixes (par contre, le serveur dns qui resoud les nom interne est sur la meme boite que le serveur web ce qui doit ralentir encore le tout).
en fait, ma question concernait surtout l'origine des requetes bizarres ???
pour l'echec de la connexion ssh, je l'attribue (a tort?) a la surchage pasagere du serveur qui a provoque un timeout dans la negociation de l'identification ssh (timeout vu dans les logs du serveur) ???
sinon essaye le wndershaper, ca te permet de reserver tjs une bande passante minimale pour ssh/mail
m'interresse, mais google ne connait pas. une url (ou une autre orthographe ;) ?
merci,
pascal -- Black-ink.net ...les ecrits restent !
[SauroN]
"pascal" a écrit dans le message de news:3f099753$0$29498$ | [SauroN] wrote: | | > "pascal" a écrit dans le message de | | > tu a du redemarrer ta connexion et reprendre une nouvelle IP. | | peu probable : la connexion ADSL est sur la machine FW/passerelle, distincte | du serveur web, et je fais du ssh depuis une autre machine du reseau local, | avec IP fixes (par contre, le serveur dns qui resoud les nom interne est | sur la meme boite que le serveur web ce qui doit ralentir encore le tout). | | en fait, ma question concernait surtout l'origine des requetes bizarres ??? |
ce que je veux dire c ets que tu a du changer d ip et cela a fait disparaitre les acces a ton serveur, qq un d autre se les prend
| pour l'echec de la connexion ssh, je l'attribue (a tort?) a la surchage | pasagere du serveur qui a provoque un timeout dans la negociation de | l'identification ssh (timeout vu dans les logs du serveur) ??? | | > | > sinon essaye le wndershaper, ca te permet de reserver tjs une bande | > passante minimale pour ssh/mail | > | | m'interresse, mais google ne connait pas. une url (ou une autre orthographe | ;) ? |
"pascal" <news@black-ink.net> a écrit dans le message de
news:3f099753$0$29498$4d4eb98e@read.news.fr.uu.net...
| [SauroN] wrote:
|
| > "pascal" <news@black-ink.net> a écrit dans le message de
|
| > tu a du redemarrer ta connexion et reprendre une nouvelle IP.
|
| peu probable : la connexion ADSL est sur la machine FW/passerelle,
distincte
| du serveur web, et je fais du ssh depuis une autre machine du reseau
local,
| avec IP fixes (par contre, le serveur dns qui resoud les nom interne est
| sur la meme boite que le serveur web ce qui doit ralentir encore le tout).
|
| en fait, ma question concernait surtout l'origine des requetes bizarres
???
|
ce que je veux dire c ets que tu a du changer d ip et cela a fait
disparaitre les acces a ton serveur, qq un d autre se les prend
| pour l'echec de la connexion ssh, je l'attribue (a tort?) a la surchage
| pasagere du serveur qui a provoque un timeout dans la negociation de
| l'identification ssh (timeout vu dans les logs du serveur) ???
|
| >
| > sinon essaye le wndershaper, ca te permet de reserver tjs une bande
| > passante minimale pour ssh/mail
| >
|
| m'interresse, mais google ne connait pas. une url (ou une autre
orthographe
| ;) ?
|
"pascal" a écrit dans le message de news:3f099753$0$29498$ | [SauroN] wrote: | | > "pascal" a écrit dans le message de | | > tu a du redemarrer ta connexion et reprendre une nouvelle IP. | | peu probable : la connexion ADSL est sur la machine FW/passerelle, distincte | du serveur web, et je fais du ssh depuis une autre machine du reseau local, | avec IP fixes (par contre, le serveur dns qui resoud les nom interne est | sur la meme boite que le serveur web ce qui doit ralentir encore le tout). | | en fait, ma question concernait surtout l'origine des requetes bizarres ??? |
ce que je veux dire c ets que tu a du changer d ip et cela a fait disparaitre les acces a ton serveur, qq un d autre se les prend
| pour l'echec de la connexion ssh, je l'attribue (a tort?) a la surchage | pasagere du serveur qui a provoque un timeout dans la negociation de | l'identification ssh (timeout vu dans les logs du serveur) ??? | | > | > sinon essaye le wndershaper, ca te permet de reserver tjs une bande | > passante minimale pour ssh/mail | > | | m'interresse, mais google ne connait pas. une url (ou une autre orthographe | ;) ? |
ce que je veux dire c ets que tu a du changer d ip et cela a fait disparaitre les acces a ton serveur, qq un d autre se les prend
ben c'est bien ca qui m'etonne en fait : j'ai coupe le trafic en changant les regles du fw (mode emergency, toutes les policy a drop, toutes les tables vides, sauf pour le ssh et pour logger) mais sans toucher a la connexion elle meme. Vraiment pas de raison d'avoir change d'IP donc ! et pourtant les tentatives de connexions ont arrete immediatement !
| pour l'echec de la connexion ssh, je l'att
url et autre orthographe aussi
wondershaper wshaper
http://lartc.org/wondershaper/
merci encore, ca a l'air effectivement interessant
Pascal -- Black-ink.net ...les ecrits restent !
[SauroN] wrote:
ce que je veux dire c ets que tu a du changer d ip et cela a fait
disparaitre les acces a ton serveur, qq un d autre se les prend
ben c'est bien ca qui m'etonne en fait : j'ai coupe le trafic en changant
les regles du fw (mode emergency, toutes les policy a drop, toutes les
tables vides, sauf pour le ssh et pour logger) mais sans toucher a la
connexion elle meme. Vraiment pas de raison d'avoir change d'IP donc !
et pourtant les tentatives de connexions ont arrete immediatement !
| pour l'echec de la connexion ssh, je l'att
url et autre orthographe aussi
wondershaper
wshaper
http://lartc.org/wondershaper/
merci encore, ca a l'air effectivement interessant
ce que je veux dire c ets que tu a du changer d ip et cela a fait disparaitre les acces a ton serveur, qq un d autre se les prend
ben c'est bien ca qui m'etonne en fait : j'ai coupe le trafic en changant les regles du fw (mode emergency, toutes les policy a drop, toutes les tables vides, sauf pour le ssh et pour logger) mais sans toucher a la connexion elle meme. Vraiment pas de raison d'avoir change d'IP donc ! et pourtant les tentatives de connexions ont arrete immediatement !
| pour l'echec de la connexion ssh, je l'att
url et autre orthographe aussi
wondershaper wshaper
http://lartc.org/wondershaper/
merci encore, ca a l'air effectivement interessant
Pascal -- Black-ink.net ...les ecrits restent !
[SauroN]
"pascal" a écrit dans le message de news:3f09f35d$0$29960$ | [SauroN] wrote: | | | | > | > ce que je veux dire c ets que tu a du changer d ip et cela a fait | > disparaitre les acces a ton serveur, qq un d autre se les prend | | ben c'est bien ca qui m'etonne en fait : j'ai coupe le trafic en changant | les regles du fw (mode emergency, toutes les policy a drop, toutes les | tables vides, sauf pour le ssh et pour logger) mais sans toucher a la | connexion elle meme. Vraiment pas de raison d'avoir change d'IP donc ! | et pourtant les tentatives de connexions ont arrete immediatement ! |
alors a mon avis coup de bol car je ne pense pas qu il y ai effectivement de rapport.
| | > | > | > | pour l'echec de la connexion ssh, je l'att | > | > url et autre orthographe aussi | > | > wondershaper | > wshaper | > | > http://lartc.org/wondershaper/ | > | > | | merci encore, ca a l'air effectivement interessant | | | Pascal | -- | Black-ink.net | ...les ecrits restent !
"pascal" <news@black-ink.net> a écrit dans le message de
news:3f09f35d$0$29960$4d4eb98e@read.news.fr.uu.net...
| [SauroN] wrote:
|
|
|
| >
| > ce que je veux dire c ets que tu a du changer d ip et cela a fait
| > disparaitre les acces a ton serveur, qq un d autre se les prend
|
| ben c'est bien ca qui m'etonne en fait : j'ai coupe le trafic en changant
| les regles du fw (mode emergency, toutes les policy a drop, toutes les
| tables vides, sauf pour le ssh et pour logger) mais sans toucher a la
| connexion elle meme. Vraiment pas de raison d'avoir change d'IP donc !
| et pourtant les tentatives de connexions ont arrete immediatement !
|
alors a mon avis coup de bol
car je ne pense pas qu il y ai effectivement de rapport.
|
| >
| >
| > | pour l'echec de la connexion ssh, je l'att
| >
| > url et autre orthographe aussi
| >
| > wondershaper
| > wshaper
| >
| > http://lartc.org/wondershaper/
| >
| >
|
| merci encore, ca a l'air effectivement interessant
|
|
| Pascal
| --
| Black-ink.net
| ...les ecrits restent !
"pascal" a écrit dans le message de news:3f09f35d$0$29960$ | [SauroN] wrote: | | | | > | > ce que je veux dire c ets que tu a du changer d ip et cela a fait | > disparaitre les acces a ton serveur, qq un d autre se les prend | | ben c'est bien ca qui m'etonne en fait : j'ai coupe le trafic en changant | les regles du fw (mode emergency, toutes les policy a drop, toutes les | tables vides, sauf pour le ssh et pour logger) mais sans toucher a la | connexion elle meme. Vraiment pas de raison d'avoir change d'IP donc ! | et pourtant les tentatives de connexions ont arrete immediatement ! |
alors a mon avis coup de bol car je ne pense pas qu il y ai effectivement de rapport.
| | > | > | > | pour l'echec de la connexion ssh, je l'att | > | > url et autre orthographe aussi | > | > wondershaper | > wshaper | > | > http://lartc.org/wondershaper/ | > | > | | merci encore, ca a l'air effectivement interessant | | | Pascal | -- | Black-ink.net | ...les ecrits restent !