OVH Community, votre nouvel espace communautaire.

Trafic sur mon SYS en explosion - domaines inaccessibles


Nowwhat
03/09/2014, 19h30
Citation Envoyé par Franck
- Dans les access.log d'Apache, depuis cette même date, j'ai en boucle (des dizaines ou centaines par minute) :
127.0.0.1 - - [31/Aug/2014:07:41:27 +0200] "POST /wp-login.php HTTP/1.0" 404 472 "-" "-"
Et s c'est pas lui, c'est l'autre, ton installation PHPMyadmin.
En gros: protège ce gendre d’accès avec fail2ban sinon, on te mitraille ton serveur comme ça de temps en temps (dans les logs tu verras bien des milliers des tentatives avec chaque fois un autre tentative de login jusqu’à c'est "bingo")
C'est un grand classique.

Il faut faut 'adapter' un règle de fail2ban pour qu'il te protège le login de ton CMS.
Comme ça tu fait connaissance avec 'regex', un vrai copain

[QUOTE=Franck;1340]C'est peut être non lié mais dans les logs d'erreur d'Apache j'ai env 10 fois par minute :
[Wed Sep 03 11:48:24 2014] [warn] mod_fcgid: process 15492 graceful kill fail, sending SIGKILL

FCGID accepte des requêtes de Apache jusqu'à un certain nombre (fixé dans son config). Puis il se atou-kill, pour être redémarrer "propre".
Plusieurs instances de FCGID travaille comme ça pour Apache. (commande : htop pour voir)
C'est normal.

Citation Envoyé par Franck
EDIT 2 : Problème résolu ! Un des WordPress (quelle passoire...) s'est fait hacké et des scripts devaient effectuer des requêtes à répétition sur le serveur.
UN WP "sans addition" = pas d'addons (écrit par les ........ justement: un script kiddie !?) bien gardé à jour ? Ça ne risque quasiment rien - j'en ai quelques unes comme ça, depuis des années. Jamais eu un soucis.
(mais par contre, mon fail2ban s'envole souvent).

Une installation WP est aussi fort que le plugin le plus faible.
Vu de cet optique: Oui, beaucoup des sites WP sont des passoires - mais ceci n'est pas le faut de WP.
Avant de choisir son plugin pour WP, ou n’importe quelle autre CMS, voir même OS, il existe certain règles qu'il faut respecter.

Franck
03/09/2014, 10h51
Bonjour.

Depuis ce matin, les sites sur mon serveur SYS sont parfaitement inaccessibles (www.kosellek.fr). En fouillant voici ce que j'ai remarqué :

- Depuis le 26 aout, le trafic a explosé sur mon SYS, voici une capture : http://nephidev.com/sys.png
- Dans les access.log d'Apache, depuis cette même date, j'ai en boucle (des dizaines ou centaines par minute) :
127.0.0.1 - - [31/Aug/2014:07:41:27 +0200] "POST /wp-login.php HTTP/1.0" 404 472 "-" "-"

Ce matin j'ai redémarré mon serveur, et le trafic a largement chuté, mais je n'ai toujours pas accès aux sites... De plus depuis ce redémarrage d'Apache ce matin à 10h, les logs d'acces ne bougent plus (contrairement aux logs d'erreurs). Comme si plus aucune requête ne fonctionnait sur Apache.

C'est peut être non lié mais dans les logs d'erreur d'Apache j'ai env 10 fois par minute :
[Wed Sep 03 11:48:24 2014] [warn] mod_fcgid: process 15492 graceful kill fail, sending SIGKILL

Je pensais qu'il était question d'attaque DDOS, mais SYS affirme que leurs serveurs sont bien protégés. L'un d'entre vous aurait une petite idée du problème ?

Merci beaucoup de vos retours !

Edit. Chose étrange, lorsque je reboot Apache2, les sites sont accessibles pendant 5 / 10 secondes...

EDIT 2 : Problème résolu ! Un des WordPress (quelle passoire...) s'est fait hacké et des scripts devaient effectuer des requêtes à répétition sur le serveur.