Attaque sur port 80 ?
Bonjour,
D'accord, merci.
Je viens de vous envoyer un mail.
Bonjour,
je viens de voir votre message privé et du coup vous est répondu à la suite.
Cordialement, janus57
Bonsoir,
Je rencontre toujours le même soucis, je pense à une mauvaise config d'apache.
Mais je ne suis pas sur ?
Le site fonctionne bien, mais au même intervalle(en général), site lent voir même timeout.
Merci d'avance.
Non malheureusement pas possible dans votre profil :/
Bonjour,
normalement elle apparait dans mon profil.
Sinon vous pouvez laisser votre mail en message visiteur sur mon profil (normalement j'ai limité cette fonction sur mon profil pour éviter les robots/visiteurs d'y jeter un coup d’œil).
Cordialement, janus57
Merci pour votre réponse, je peux peut-être vous donner accès à mon munin ?
Vous avez une adresse mail svp ?
Bonjour,
il faut des graphs à ce niveau (et pas ceux du manager pas confiance).
Car suivant la config juste dire "ça ram" c'est impossible d'aider, la seule chose que l'on sait avec certitude c'est que vous avez apache en prefork/munin/awstat et PHP (le tout en version Jessie sauf si dépôts "exotique").
Donc après reste à savoir comment PHP fonctionne (mod_php/fastcgi/fpm), voir la charge CPU en // de la charge apache/MySQL et aitre données issue du monitoring.
Et surtout analyser les logs au moment des "coups de mous".
Cordialement, janus57
Bonjour,
Sur les logs il n'y a pas grand chose et niveau ram il consomme 1 gb sur 4gb.
La charge : load average: 1,61, 1,37, 0,99
Par compte les coeurs cpu sont des fois à 100 %
Merci d'avance.
Bonjour,
que donne les logs apache ?
Que donne les ressources du serveur (RAM/CPU) ?
C'est aussi à vous d'adapter la configuration en fonction de votre trafic/materiel, tout ce que je peu faire c'est proposer des configuration "type" car je connais absolument rien vis à vis de votre serveur (le nombre de sites, le type de serveur, le nombre de visiteurs, les logs d'erreurs, l'ip etc...).
De là vous êtes en prefork, donc avec de la chance je dirais que vous êtes aussi en mod_php ce qui ne doit pas forcément aider apache.
Cordialement, janus57
Bonjour,
Depuis que j'ai mis cette config, le serveur apache ram et j'ai des erreurs de page inaccessible quand il y a du monde.
Et le monitoring d'ovh me fait un down de 5m sur le port 80.
Je sais pas si c'est dû à cela ou pas ?
Merci d'avance
Merci pour votre aide,
Je vais donc regardé cela et je reviendrais ici.
Envoyé par
Raln
D'accord merci,
Mais je possède déjà awstats je pense donc que piwik n'est pas nécessaire si ?
Bonjour,
awstats se base sur les logs apache alors que piwik se base sur un tag JS (comme google analytics) ce qui de par sa nature ne compte pas les robots qui n'on pas JS d'activé, de plus pour piwik cela ne prendra pas en compte les visiteur qui ont des bloqueur de pubs avec des filtre qui bloque les trackers comme piwik/google/xiti etc...
Donc la combinaison de piwik + awstats peu potentiellement permettre d'avoir de meilleurs stats vis à vis des visiteur lamba/avancé/robots.
Après vous faite comme vous voulez, mais 2 outils de stats pour détecter les éventuels robots (ou du moins essayer de les dénombrer) cela peut être bien pour voir si lors des message y aurais pas un pic de visite de robots (que ce soit google/bing ou des méchants qui spam/bruteforce/Attaque), ce qui du coup plutôt que de gonfler la config apache permettrais d'aller voir dans les logs d'accès et se faire une petite jail fail2ban pour dégager les robots et si cela ne suffit pas permettrais de config mod-evasive un peu mieux contre les robots ou les visiteurs qui spamment violemment (à cause de virus sur leur PC par exemple).
Cordialement, janus57
D'accord merci,
Mais je possède déjà awstats je pense donc que piwik n'est pas nécessaire si ?
Envoyé par
Raln
Bonjour,
Merci pour votre aide, je vais donc essayer cela.
Je possède déjà awstats ainsi que munin comme outils de stats.
Bonjour,
munin c'est pas le top pour les stats web; le mieux serait piwik (comme google analytics suffit de mettre un JS de tracking), comme ça awstats + piwik permet de voir un peu plus "claire" (piwik risque d'éliminer les robots des stats vu que la plupart n'ont pas de JS, mais c'est de moins en moins vrais).
Cadeau :
https://fr.piwik.org/liste-fonctions-piwik-analytics/
Cordialement, janus57
Bonjour,
Merci pour votre aide, je vais donc essayer cela.
Je possède déjà awstats ainsi que munin comme outils de stats.
Bonjour,
OK donc finalement c'est bien du prefork.
Du coup peut être essayer cette config :
Code:
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxRequestWorkers 256
MaxConnectionsPerChild 5000
Après pour affiner la config il faudrait mettre en parallèle des stats de différentes sources (awstat + piwik par exemple) et aussi regarder les logs et mettre en place des règle de bannissement pour les robots spammeur/bruteforce (pour réduire la charge).
Cordialement, janus57
Bonjour,
Voici le résultat de la commande :
# apache2ctl -V
Server version: Apache/2.4.10 (Debian)
Server built: Mar 15 2015 09:51:43
Server's Module Magic Number: 20120211:37
Server loaded: APR 1.5.1, APR-UTIL 1.5.4
Compiled using: APR 1.5.1, APR-UTIL 1.5.4
Architecture: 64-bit
Server MPM: prefork
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=256
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
Bonjour,
mauvaise config je pense.
Que donne :
Car je pense pas que cela utilise prefork au vu du message, cela doit soit utiliser worker soit event, donc pas le bon fichier de config.
Cordialement, janus57
Bonjour,
Merci pour ta réponse, voici la conf :
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxRequestWorkers 150
MaxConnectionsPerChild 0
Peut-être que depuis la MAJ jessie cela à modifié les valeurs ?
Merci d'avance.
Bonjour,
pas de chance sur jessie le config n'est plus dans apache.conf =)
Elle est dans /etc/apache2/mods-enabled/mpm-*.conf
Il faut juste regarder le conf du MPM utilisé, qui par défaut est event (successeur de worker, et prefork n'est plus utilisé de base).
Cordialement, janus57
Bonjour,
En effet, j'ai fais ma migration jessie. J'ai donc Apache/2.4.10.
Voici la config apache :
http://pastebin.com/6SSnrGbb
Merci d'avance.
Bonjour,
c'est quoi la config de apache ? et quel version de apache ? (là on dirais du 2.4 donc jessie).
Cordialement, janus57
Hello,
Je relance le sujet car aujourd'hui, même soucis plante d'apache :
[Tue Jun 23 10:51:38.933999 2015] [mpm_prefork:error] [pid 4521] AH00161: server reached MaxRequestWorkers setting, consider raising the MaxRequestWorkers setting
[Tue Jun 23 11:14:16.638785 2015] [mpm_prefork:notice] [pid 4521] AH00169: caught SIGTERM, shutting down
Merci d'avance.
D'accord je vais essayer tout cela.
Merci encore d'avoir pris le temps de me répondre et de m’aide.
Bonjour,
Je possède ipboard je sais pas si cela peut fonctionner avec ?
fail2ban oui du moment que la regex est bonne.
Comment peut-on savoir ce qu'il faut mettre dans failregex ? (ipboard)
regarder les logs et/ou la page de connexion pour mettre des regex sur ce que les bots spam le plus.
Et donc un log d'erreur/accès sur cette URL donne quoi dans vos logs ?
Sinon en
théorie un regex du genre :
Code:
# IPBoard brute force auth filter: /etc/fail2ban/filter.d/apache-wp-login.conf:
#
# Block IPs trying to auth wp wordpress
#
# Matches e.g.
# 269.31.103.204 - [04/Oct/2013:14:37:40 +0200] "POST /index.php?app=core&module=global§ion=login HTTP/1.1" 200 299 "www.example.org/index.php"
#
[Definition]
failregex = ^ -.*POST /index.php\?app=core&module=global§ion=login HTTP.*
ignoreregex =
Cordialement, janus57
D'accord, merci.
Je possède ipboard je sais pas si cela peut fonctionner avec ?
Comment peut-on savoir ce qu'il faut mettre dans failregex ? (ipboard)
La page de connexion pour ipboard est :
http://site.com/index.php?app=core&m...§ion=login
Bonjour,
Pour le regex fail2ban, c'est au niveau de quel prison/règle qu'il faut regarder ?
faut la créer soit même selon le type d'attaque/bruteforce que l'on souhaite bloquer.
Exemple pour wordpress (je sais pas si ça fonctionne mais en théorie oui) :
Code:
[apache-wp-login]
enabled = true
port = http,https
filter = apache-wp-login
logpath = /var/log/apache2/example.org/access.log
#bantime = 3600
maxretry = 8
Code:
# WordPress brute force auth filter: /etc/fail2ban/filter.d/apache-wp-login.conf:
#
# Block IPs trying to auth wp wordpress
#
# Matches e.g.
# 269.31.103.204 - - [04/Oct/2013:14:37:40 +0200] "POST /wp-login.php HTTP/1.1" 200 299 "www.monsitewp.net/wp-login.php"
#
[Definition]
failregex = ^ -.*POST /wp-login.php HTTP.*
ignoreregex =
Ce code (si il fonctionne) bann au bout de 8 tentative sur le fichier de connexion wordpress suivant le bantime (par défaut 600 de mémoire) & findtime (par défaut 300 de mémoire) de fail2ban.
Cordialement, janus57
Bonjour,
Merci pour tes explication.
Pour le regex fail2ban, c'est au niveau de quel prison/règle qu'il faut regarder ?
Je fais regarder au niveau de mod_evasive aussi.
Merci d'avance
Bonjour,
déjà je regarderais les graphs munin (apache2 surtout) au moment ou apache atteint la limite, ensuite il faut regarder dans les logs d'accès au moment ou la limite est atteindre et remonter sur les 5/10 minutes avant l'erreur, puis en fonctions du logs d'accès (crawling ou bruteforce) on agit en conséquence.
Si bing est un trop "trop" insistant sur le crawling je vous conseillerais de vous inscrire à leurs outils webmaster (chez google aussi).
Chez bing on peu "choisir la vitesse" du bot (Cf :
http://www.bing.com/webmaster/help/c...ntrol-55a30302), donc lui dire que en jorunée (6H => 23H) il diminue la vitesse de scan et que la nuit il peu y aller à fond serait pas une mauvaise idée en soit.
Ensuite si les bot de scan/bruteforce sont trop présent on fait un regex fail2ban qui bann le bot si il spam une page de login et/ou page de post en boucle (au passage avertir les utilisateurs du forum de cette protection serait une bonne idée).
Sinon y a toujours moyen d'activer le mod_evasive, mais je connais pas sa config, mais avec l'aide d'internet (example :
https://wiity.net/2014/03/02/mod_eva...s-pour-apache/) et le manuel apache il doit être possible de bien régler le tout sans pour autant bannir de client légitime et après derrière on peu mettre un regex sur la liste des banni par mod_evasive pour les re-bannir via fail2ban (si il insiste ou si c'est des bots).
Cordialement, janus57
Bonjour,
Oui il y a munin d'installé dessus.
Mhh, je dirais que j'ai le plantage depuis quelques mois.
Sinon j'ai vu que bing référence pas mal plus de 80 000 hits contre google qui en a que 23 000
Concernant les logs d'accès, il n'y a plus rien à 03:09. Mais j'ai vu qu'il y avait une connexion avec la même ip 78 fois à quelques secondes près.
J'ai aussi une autre ip en 178.137. qui spam pas mal le forum en faisant des tentatives de connexion avec des comptes
qui existe pas.
Merci d'avance.
Bonjour,
y a un munin ou autre logiciel de monitoring/supervision sur le serveur ?
Depuis quand y a ces erreurs ? (en moyenne pour le mois de Mars y a 61hits/secondes | 40 visiteurs/heures)
Que donne les logs d'accès au moment de ces erreurs (ça sent le bot de crawling qui abuse un peu ou carrément un bot de scan) ?
Cordialement, janus57
Merci pour ton aide.
Voici les visiteurs mensuel pour mon site qui le plus visité :
http://planet-upload.net/images/24b8...03651e9a64.jpg
J'en est un autre aussi qui lui bouffe pas mal de BP :
http://planet-upload.net/images/cec6...b607b412fe.jpg
Je sais pas si cela est bon ?
Bonjour,
non d'après ce qu'on peu trouver sur le net itk se base sur la config de prefork.
Donc perso je verrais plus cette config (sans avoir vu le nombre de visiteurs sur vos sites) :
Code:
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 300
ServerLimit 300
MaxRequestsPerChild 20000
Et si vous avez vraiment ps mal de visiteurs :
Code:
StartServers 10
MinSpareServers 10
MaxSpareServers 20
MaxClients 300
ServerLimit 300
MaxRequestsPerChild 20000
Donc possible d'avoir un graph ou des stats de visiteurs ?
EDIT :
faut pas oublier de restart apache
Cordialement, janus57
Bonjour,
Merci pour votre réponse.
Voici le résultat de la commande :
# apache2ctl -V
Server version: Apache/2.2.22 (Debian)
Server built: Dec 23 2014 22:48:29
Server's Module Magic Number: 20051115:30
Server loaded: APR 1.4.6, APR-Util 1.4.1
Compiled using: APR 1.4.6, APR-Util 1.4.1
Architecture: 64-bit
Server MPM: ITK
threaded: no
forked: yes (variable process count)
Server compiled with....
-D APACHE_MPM_DIR="server/mpm/experimental/itk"
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=128
-D HTTPD_ROOT="/etc/apache2"
-D SUEXEC_BIN="/usr/lib/apache2/suexec"
-D DEFAULT_PIDLOG="/var/run/apache2.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_LOCKFILE="/var/run/apache2/accept.lock"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="mime.types"
-D SERVER_CONFIG_FILE="apache2.conf"
Concernant la configuration d'apache :
StartServers 5
MinSpareServers 5
MaxSpareServers 10
MaxClients 300
MaxRequestsPerChild 0
ServerLimit 300
StartServers 2
MinSpareThreads 25
MaxSpareThreads 75
ThreadLimit 64
ThreadsPerChild 25
MaxClients 150
MaxRequestsPerChild 0
StartServers 2
MinSpareThreads 25
MaxSpareThreads 75
ThreadLimit 64
ThreadsPerChild 25
MaxClients 150
MaxRequestsPerChild 0
Je vois qu'en effet je n'ai pas augmenter les valeurs pour les 2 d'en bas, le soucis vient peut-être de là ?
Concernant l’outil d'analytics, je possède awstat.
Merci d'avance
Bonjour,
que renvois
et ensuite que donne la config de apache au niveau des valeurs de "MaxClients" (doit y en avoir 3, mpm_prefork, mpm_worker et mpm_event).
Est-ce que vous avez des outils analytics pour voir les visiteurs/robots ?
Cordialement, janus57
Bonjour,
Je rencontre quelques soucis depuis quelques temps avec mon serveur sous debian 7 avec i-mscp.
En effet, mes sites deviennent souvent down et quand je vérifie dans les logs apache2 j'ai ;
[Thu May 28 03:32:08 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Thu May 28 06:25:05 2015] [notice] Graceful restart requested, doing restart
Pensant que c'était donc un problème de configuration apache, j'ai donc augmenté les valeurs. Mais même problème..
Et quand je fais un apache2 status, il est pourtant bien en route :
# /etc/init.d/apache2 status
Apache2 is running (pid 5029).
Je suis donc obligé de restart le serveur apache2 pour que cela refonctionne.
Avez-vous une idée d’où peut venir le soucis svp ?
Je pensait peut-être à une attaque/flood sur le port 80 ?
Merci d'avance.