Forum général.général pistes de recherche pr pb serveur ...

• # botnet

  Posté par nono14 (site web personnel) le 10 décembre 2009 à 13:40. Évalué à 1.

  

  Ce sont peut être des machines zombies qui scrutent le web à la recherche de serveurs "open proxy".
  
  Si erreur 4XX de la requete correspondante , pas de soucis.

  Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

  • [^] # Re: botnet

    Posté par dede42 le 10 décembre 2009 à 13:44. Évalué à 1.

    

    merci mais si ce sont des machines exterieurs, comment peuvent elles faire generer par ma machine 500 connexions /sec au DNS de mon isp ?

    • [^] # Re: botnet

      Posté par dede42 le 10 décembre 2009 à 13:46. Évalué à 1.

      

      et de plus je n'ai pas 500 connexions sur le access_log d'apache ...

      • [^] # Re: botnet

        Posté par nono14 (site web personnel) le 10 décembre 2009 à 13:50. Évalué à 2.

        

        Il y a surement autre chose, peut être qu'une trace réseau ( analyseur de trame ) te donnera des indices...

        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

        • [^] # Re: botnet

          Posté par dede42 le 10 décembre 2009 à 13:51. Évalué à 1.

          

          ok merci

• # requete DNS, à une heure precise

  Posté par NeoX le 10 décembre 2009 à 14:46. Évalué à 2.

  

  tu n'aurais pas un serveur DNS sur ta machine ?
  
  qui recupererait les zones ROOT (A/B/C/D....) une fois par jour ?

  • [^] # Re: requete DNS, à une heure precise

    Posté par dede42 le 10 décembre 2009 à 15:06. Évalué à 1.

    

    non le serveur DNS est chez le fournisseur

    • [^] # Re: requete DNS, à une heure precise

      Posté par NeoX le 10 décembre 2009 à 15:10. Évalué à 2.

      

      et les requetes DNS viennent de ton serveur ou de l'exterieur ?
      
      si ca vient de l'exterieur, ton fournisseur n'a aucune raison valable de te couper ton acces.
      
      si ca vient de ton serveur, effectivement ton fournisseur peut te demander des comptes

      • [^] # Re: requete DNS, à une heure precise

        Posté par dede42 le 10 décembre 2009 à 15:54. Évalué à 1.

        

        Les requetes viennent de mon serveur, elles adressent le serveur DNS sur le port 53.

        • [^] # Re: requete DNS, à une heure precise

          Posté par NeoX le 10 décembre 2009 à 19:48. Évalué à 3.

          

          tu peux tenter de bloquer les resolutions DNS lancées par ton serveur à coup d'iptables.
          
          tu verras vite quel service ne fonctionne plus sur la periode de temps donnée

• # facile

  Posté par fcartegnie le 10 décembre 2009 à 15:48. Évalué à 2.

  

  Génération de statistiques d'après les logs, avec résolution dns pour les ip

  • [^] # Re: facile

    Posté par dede42 le 10 décembre 2009 à 15:55. Évalué à 1.

    

    avec syslog ?

    • [^] # Re: facile

      Posté par NeoX le 10 décembre 2009 à 16:51. Évalué à 2.

      

      syslog enregistre au fil de l'eau
      
      par contre un outil comme cacti/rrdtool ou autres outils de monitoring generent leurs stats une fois par jour
      
      et font peut-etre la resolution à ce moment là.
      
      
      faut regarder ce que tu as en cron sur les plages horaires incriminées par ton fournisseur

• # heure précise

  Posté par Old Geek le 10 décembre 2009 à 19:05. Évalué à 1.

  

  Hello,
  
  As-tu un webalyzer ou awstats par exemple, qui ferait un paquet de résolutions dns pour générer des stats de sites visités , à intervalle réguliers ?
  
  n'oublies pas dans la crontab il n'y a pas que /var/spool/cron...
  mais aussi tous les /etc/cron***
  
  Si tu as bidouillé les logs apache, il se peut que la résolution inverse dns soit activée, en tracant le réseau tu pourrais vérifier si ce sont des requetes dns normales ou inverses. (attention si tcpdump ajouter -n, sinon lui meme va t'envoyer des requetes dns inverses !)
  
  en analysant le type de résolutions demandées (tcpdump), les noms de domaines résolus te mettrons peut etre sur une piste.
  
  Nicolas

  • [^] # Re: heure précise

    Posté par dede42 le 11 décembre 2009 à 09:33. Évalué à 1.

    

    hello,
    
    nope pas de webalizer ou awstats
    
    pr les crons je vais regarder + en details car j'avais surtout regardé la simple crontab
    
    pour le tcpdump j'en ai fait un hier soir, je vais essayer de decortiquer tout ca !!
    
    merci

    • [^] # Re: heure précise

      Posté par dede42 le 11 décembre 2009 à 10:15. Évalué à 1.

      

      bon a priori j'ai tout un tas de requetes DNS qui partent de mon serveur a une heure bien precise.
      Est ce qu'il existe un outil ou moyen qui me permettrait de faire le lien avec la commande qui est a l'origine de tout ca.
      comme un ps -ef chaque ms ou un netstat -antp ?

      • [^] # Watch ?

        Posté par nono14 (site web personnel) le 11 décembre 2009 à 10:56. Évalué à 1.

        

        watch -n 10 par ex

        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

        • [^] # Re: Watch ?

          Posté par dede42 le 11 décembre 2009 à 11:37. Évalué à 1.

          

          ok comme un cron finalement
          mais l'idée d'un process qui tourne en tache de fond pour verifier les process existe t elle ?

        • [^] # Re: Watch ?

          Posté par dede42 le 11 décembre 2009 à 11:48. Évalué à 1.

          

          ok comme un cron finalement
          mais l'idée d'un process qui tourne en tache de fond pour verifier les process existe t elle ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.