Mettre down n’importe quel serveur sous Apache en moins de 7 secondes!
Publié par PH dans SécuritéBonjour
Hier j’ai découvert un programme sous perl des plus effrayant qui soit: il permet de mettre à genoux n’importe quel serveur web utilisant Apache en quelques secondes. Le programme est d’une simplicité enfantine et ne nécessite aucune puissance de calcul (donc pas besoin de botnet). Il se base sur une attaque de type SYN mais au lieu de flooder en TCP il flood en HTTP (il fallait y penser!!!).
Je l’ai personnellement essayé: redoutable! Aucun serveur n’est à l’abri quelque soit son load balancing! Le problème pour les admins c’est qu’il n’existe aucun moyen de s’en protéger à part avec un reverse proxy et encore!!!
Là vous allez me dire: « Bon d’accord c’est quoi le nom de ton programme? ». MAIS VOUS RÊVEZ!! Si je vous le donnais, la première chose que vous feriez c’est mettre down mon serveur! Or je ne peux pas m’en protéger… Je signerai mon propre arrêt de mort et celui de tous les serveurs web qui vous passerai par la tête! D’ailleurs personne n’a d’intérêt à ce qu’il devienne populaire! Je vous rappelle qu’Apache c’est 67% du marché selon Netcraft!
Mais je comprend votre curiosité alors je vous donne un indice:
Si vous trouvez le nom de l’animal en anglais, vous n’aurez pas de mal à trouver le programme en question (non ce n’est pas un Panda…. )
PS: si vous ne croyez pas, donnez moi l’adresse de votre serveur web et une heure donnée pour une attaque (hors pointe de trafic de préférence) et vous verrez l’ampleur de la chose….
Bulletins (RSS)
novembre 30th, 2009 à 13:28 Surfe avec
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
trouvé!
novembre 30th, 2009 à 16:45 Surfe avec
Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15
Hello Maliox!
Alors si tu as trouvé, s’il te plait ne l’ébruite pas trop et évite de t’en servir contre mon serveur je n’ai pas encore virtualisé un reverse proxy
A+
P.S: tu as mis quoi en place pour t’en protéger?
novembre 30th, 2009 à 16:56 Surfe avec
Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Héhé non t’inquiète, faire chier les gens c’est pas mon activité principale.
Ca m’interesse car je suis en train de monter un site web avec Apache… je m’y connais pas plus que ca mais c’est une faille connue depuis un moment apparemment.
Jpeux pas te donner le lien (car sinon facile pour les autres de trouver le nom de la faille) mais un mise à jour du module Apache mod-qos permettrait de renforcer le serveur en limitant le nombre de connexions par IP sur une fenêtre de temps donnée… mais ca pas l’air simple
novembre 30th, 2009 à 17:14 Surfe avec
Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15
Tiens bonne astuce pour le module, je vais me renseigner
D’après ce que j’ai pu lire, il est est recommandé de réduire le Timeout de 300 à 5 seconde, mais cela pénalise les connexions bas débits. Ensuite mettre en place HAProxy, mais c’est lourd et je n’ai pas vraiment le temps en ce moment…
janvier 22nd, 2010 à 17:24 Surfe avec
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.15) Gecko/2009102814 Ubuntu/8.10 (intrepid) Firefox/3.0.15
J’adore cet animal, trop mimi
avril 13th, 2010 à 8:44 Surfe avec
Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)
Il y a des bon tutos sur : http://www.howtoforge.com/ (par contre en anglais)
J’ai testé le petit bidule tout mignon sur un serveur Debian 5 que j’administre et effectivement c’est radical, Apache en carafe en quelques secondes. J’ai mis ensuite le module qos en place (cf lien précédent) et ça roule !