Re: NIMDA

To: Stephane Leclerc <sleclerc@actionweb.fr>
Cc: Debian French List <debian-french@lists.debian.org>
Subject: Re: NIMDA
From: Vincent Haverlant <99.Vincent.Haverlant@aist.enst.fr>
Date: Wed, 26 Sep 2001 17:35:37 +0200
Message-id: <[🔎] 20010926173537.A615@bilbon.haverlant.homeip.net>
Mail-followup-to: vincent, Stephane Leclerc <sleclerc@actionweb.fr>, Debian French List <debian-french@lists.debian.org>
In-reply-to: <[🔎] B7D76464.11685%sleclerc@actionweb.fr>
References: <[🔎] 3BB18F94.3EA64997@juliana-multimedia.com> <[🔎] B7D76464.11685%sleclerc@actionweb.fr>

Le Wed, Sep 26, 2001 at 10:54:30AM +0200, Stephane Leclerc a écrit:
[SNIP]
| >> # routine iptable pour filtrage http
| >> iptables -I INPUT -i eth0 -p tcp --tcp-flags ACK ACK --dport 80 -m string
| >> --string 'root.exe' -j REJECT --reject-with tcp-reset
| >> 
| > 
| > Est-ce que l'option "--reject-with tcp-reset" clos la connexion sur le
| > client et sur le serveur ?
| > 
| > Si elle ne clos pas la connexion sur le serveur tu risques de te creer
| > un DoS, en epuisant le pool d'instance d'Apache utilisable.
| 
| La connexion oui selon se que j'ai compris mais pas Apache. Comme, je n'ai
| pas de serveur online avec iptable, tout cela reste théorique pour moi.

Salut, 
Après quelques tests, voici 2 éléments.
-  Sle système utilise déjà des regles pour fermer/ouvrir des ports
   comme un firewall standard, et en particulier s'il y a une regle pour
   accepter les connection à destination du port 80, il faut Insérer la
   regle de filtrage de root.exe avant celle qui accepte le paquet. En
   effet la les regles sont vérifiées une par une jusqu'à ce qu'une
   regle corresponde au paquet. On rique donc que les paquets contenant
   'root.exe' soient acceptés avant d'attendre la regle de rejet.
-  Après quelques tests, il apparait effectivement que la connection
   n'est pas fermée du cotè apache, je me suis donc retrouvé avec 21
   sockets en état ESTABLISHED (lsof -i | grep apache | grep
   ESTABLISHED) au moment ou un site infecté faisait ses requètes.

Le temps d'écrire ce mail et les connections sont fermées. Question: y
a-t-il une manière de parametrer apache pour fermer vite les sockets
inactives ? Est-ce une solution viable ?

La discussion devenant passablement off-topic, devons nous migrer sur
une autre liste, en privé ?

Vincent
-- 
   .~.   Vincent Haverlant  -- Galadril -- #ICQ: 35695155   
   /V\   MUD -- FranDUMII sur telnet:frandum.enst.fr:2001
  // \\  MaisonPage <http://haverlant.homeip.net>
 /(   )\ Membre de l'AFUL  <http://www.aful.org>
- ^^-^^ -

Reply to:

Follow-Ups:
- [OT]Re: NIMDA
  - From: frederic massot <frederic@juliana-multimedia.com>

References:
- Re: NIMDA
  - From: frederic massot <frederic@juliana-multimedia.com>
- Re: NIMDA
  - From: Stephane Leclerc <sleclerc@actionweb.fr>

Prev by Date: Re: limites
Next by Date: proftpd
Previous by thread: Re: NIMDA
Next by thread: [OT]Re: NIMDA
Index(es):
- Date
- Thread