[OT]Re: NIMDA

To: Debian French List <debian-french@lists.debian.org>
Subject: [OT]Re: NIMDA
From: frederic massot <frederic@juliana-multimedia.com>
Date: Wed, 26 Sep 2001 19:19:23 +0200
Message-id: <[🔎] 3BB20E1B.6F43BEF8@juliana-multimedia.com>
References: <[🔎] 3BB18F94.3EA64997@juliana-multimedia.com> <[🔎] B7D76464.11685%sleclerc@actionweb.fr> <[🔎] 20010926173537.A615@bilbon.haverlant.homeip.net>

Vincent Haverlant wrote:
> 
> Salut,
> Après quelques tests, voici 2 éléments.
> -  Sle système utilise déjà des regles pour fermer/ouvrir des ports
>    comme un firewall standard, et en particulier s'il y a une regle pour
>    accepter les connection à destination du port 80, il faut Insérer la
>    regle de filtrage de root.exe avant celle qui accepte le paquet. En
>    effet la les regles sont vérifiées une par une jusqu'à ce qu'une
>    regle corresponde au paquet. On rique donc que les paquets contenant
>    'root.exe' soient acceptés avant d'attendre la regle de rejet.
> -  Après quelques tests, il apparait effectivement que la connection
>    n'est pas fermée du cotè apache, je me suis donc retrouvé avec 21
>    sockets en état ESTABLISHED (lsof -i | grep apache | grep
>    ESTABLISHED) au moment ou un site infecté faisait ses requètes.
> 
> Le temps d'écrire ce mail et les connections sont fermées. Question: y
> a-t-il une manière de parametrer apache pour fermer vite les sockets
> inactives ? Est-ce une solution viable ?
> 

La connexion au serveur s'etablie en plusieurs temps :

Le client envoie un paquet de demande de connexion (sync) au serveur
pour le port 80.
Le serveur reponds OK (ACK).
Le client reponds OK (ACK).

(A ce point la connexion est ouverte)

Le client envoie la requete "verolee" : GET "/winnt/system/.../root.exe"

A ce moment le firewall bloque la connexion avec le client dit "verole"
ou pire un proxi.

Apache n'etant pas informe par le firewall, attend la requete du client
en fonction d'un timeout defini dans la configuration par la directive
"Timeout".

Si plusieurs clients effectuent une requete "verolee" pendant ce
timeout, Apache va attribue d'autre instance a la gestion de ces
requetes, et ce jusqu'a la valeur "MaxClient".

Diminuer le timeout peut etre genant lors de faible debit.

Pour moi, une solution serait que le firewall (iptable) modifie le
paquet "verole" en paquet de fin de connexion (RST) est l'envoie au
serveur.

-- 
==============================================
|              FREDERIC MASSOT               |
|     http://www.juliana-multimedia.com      |
|   mailto:frederic@juliana-multimedia.com   |
===========================Debian=GNU/Linux===

Reply to:

Follow-Ups:
- Re: [OT]Re: NIMDA
  - From: Stephane Leclerc <sleclerc@actionweb.fr>

References:
- Re: NIMDA
  - From: frederic massot <frederic@juliana-multimedia.com>
- Re: NIMDA
  - From: Stephane Leclerc <sleclerc@actionweb.fr>
- Re: NIMDA
  - From: Vincent Haverlant <99.Vincent.Haverlant@aist.enst.fr>

Prev by Date: Nimda tjrs et encore
Next by Date: Problème de permission avec kppp
Previous by thread: Re: NIMDA
Next by thread: Re: [OT]Re: NIMDA
Index(es):
- Date
- Thread