Interruption soudaine de serveur !!

acamar · 21 Mars 2012

Bonjour,

Voila je suis depuis hier face à des interruption soudaine d'un Kimsufi, sans le moindre surcharge sans rien. Cela peut être du à quoi à votre avis ?

zeb · 21 Mars 2012

C'est le monitoring du serveur qui s’arrête ou le serveur en lui même ? consulte tes logs pour voir si tu as des visites pendant les périodes où tu constate les arrêts. Sinon il y a 1000 causes possibles pour un plantage d'une machine qui vont de l'humidité a un coup de pied dans l’interrupteur (c'est une image tu l'aura compris difficile de dire pourquoi avec juste un constat des faits)

acamar · 21 Mars 2012

Oui il s’arrête complètement et tout les devient inaccessible.

Les derniers mots avant la deuxième interruption furent :

Code:

[Tue Mar 20 22:30:35 2012] [error] [client 114.***.***.***] (12)Cannot allocate memory: couldn't create child process: /usr/local/sbin/suphp for /home/monsite/www/index.php
[Tue Mar 20 22:30:36 2012] [error] [client 114.***.***.***] (12)Cannot allocate memory: couldn't create child process: /usr/local/sbin/suphp for /home/monsite/www/index.php
[Tue Mar 20 22:30:35 2012] [error] [client 114.***.***.***] (12)Cannot allocate memory: couldn't create child process: /usr/local/sbin/suphp for /home/monsite/www/index.php
[Tue Mar 20 22:30:37 2012] [error] [client 114.***.***.***] (12)Cannot allocate memory: couldn't create child process: /usr/local/sbin/suphp for /home/monsite/www/index.php

La première, rien de spéciale.

XoSt · 21 Mars 2012

Tu sembles avoir des gros pics qui font planter ton serveur, un robot, un aspirateur de site, ou alors un script mal codé.

Faut trouver d'où ça viens pour réparer le problème correctement.

acamar · 21 Mars 2012

Pas de pic justement, j'ai connu des pics qui font planter... et c'est ce qui surprend.

Edit : Donc j'ai regardé suphp.log et dans les deux cas je trouve :

Code:

[Tue Mar 20 --:--:-- 2012] [info] Executing "/home/meme_site/www/index.php" as UID 1010, GID 100

Qui se répète indéfiniment, et hop, interruption !

acamar · 21 Mars 2012

Sur les log du site concerné, et un peu avant l’interruption :

Code:

197.***.***.*** - - [20/Mar/2012:10:47:35 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:35 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:36 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:38 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:38 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:40 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:40 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:41 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
197.***.***.*** - - [20/Mar/2012:10:47:47 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"

Puis dans le seconde interruption :

Code:

114.***.***.*** - - [20/Mar/2012:22:29:36 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:36 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:37 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:38 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:38 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:39 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:39 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:39 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:41 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:41 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:41 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:37 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:47 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:48 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:48 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:48 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:49 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:36 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:47 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:54 +0000] "GET / HTTP/1.1" 500 650 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:30:35 +0000] "GET / HTTP/1.1" 500 650 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:30:17 +0000] "GET / HTTP/1.1" 500 650 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:30:08 +0000] "GET / HTTP/1.1" 500 650 "-" "KillApachePy (0.1d)"
114.***.***.*** - - [20/Mar/2012:22:29:40 +0000] "GET / HTTP/1.1" 206 607136 "-" "KillApachePy (0.1d)"

Tous les deux viennent d'un poste Ubuntu. Est ce des hackers ou quelque chose ?

spout · 21 Mars 2012

Apparemment c'est un exploit:
http://unconciousmind.blogspot.com/2011/10/killapachepy.html
https://github.com/stamparm/KillApachePy

acamar · 21 Mars 2012

Un exploit ! et pour ma part ?

Capitaine · 21 Mars 2012

C'est une faille de sécu qui a été corrigée sur Apache 2.3.15
(CVE-2011-3192) http://www.apache.org/dist/httpd/CHANGES_2.4

La dernière version d'Apache étant la 2.4.1....

spout · 21 Mars 2012

Comme Capitaine le dit, il faut mettre Apache à jour, mais pas obligatoirement en 2.3 ou 2.4:

Apache HTTP Server 1.3.x, 2.0.x through 2.0.64, and 2.2.x through 2.2.19

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192

acamar · 21 Mars 2012

C'est par ici j'espère ? http://guide.ovh.com/ReleasePatchSecurite

zeb · 21 Mars 2012

Je confirme ça sent bon le DOS.

acamar · 21 Mars 2012

Cessez de me taquiner

spout · 21 Mars 2012

Dans cette mésaventure, tu peux t'estimer heureux que le [strike]hacker[/strike] script kiddie aie laissé le User Agent

acamar · 21 Mars 2012

Ufffff.. mais que ce que j'ai fait à ces gens là à la fin ? Je crois qu'il faut entamer une backup générale au cas où.

zeb · 21 Mars 2012

acamar a dit:
Ufffff.. mais que ce que j'ai fait à ces gens là à la fin ?

bah rien ... mais ton serveur c'est tentant ...

acamar a dit:
Je crois qu'il faut entamer une backup générale au cas où.

C'est pas maintenant qu'il faut le faire c'est tout le temps (enfin surtout les trucs que tu ne pourrait pas retrouver facilement genre bases de données)

acamar · 21 Mars 2012

zeb a dit:
bah rien ... mais ton serveur c'est tentant ...

Bon j'ai pris celui de Kimsufi OVH (Gentoo 2) pré-configuré pour les hébergements Web, je ne sais pas ce que vous en pensez, après j'y connais pas grande chose. L'autre fois j'ai galéré toute une journée pour installer ImageMagick.

C'est pas maintenant qu'il faut le faire c'est tout le temps (enfin surtout les trucs que tu ne pourrait pas retrouver facilement genre bases de données)

Oui j'en fait régulièrement, mais il me faut maintenant une à jour.

XoSt · 22 Mars 2012

Je pense qu'il y a des "hackers" qui font exprès de faire ça pour que tu mettes à jour tes software sur ton serveur, là par exemple s'il ne fait qu'éteindre ton serveur et ça ta permis de trouver la faille c'est très bien, tu corriges et c'est fini. Mais imagine si un vrai hacker se ramène et efface tout pour y placer du porn par exemple...

Ici c'est toi le fautif, lorsqu'on a un serveur tout doit être à jour, moi je passe par un service d'infogérance comme ça je ne m'occupe pas de ça.

acamar · 22 Mars 2012

Je crains maintenant d'effectuer une MAJ comme expliqué ici et me trouver bloqué quelque part.

spout · 22 Mars 2012

Si tu n'as pas modifié la release, ça devrait se passer sans problème.

acamar · 22 Mars 2012

Pas grande chose non.