serveur down

8 réponses

Auteur	Message
thomas33 \| Membre Inscrit le : 08/05/2007	# Le 02/02/2011 à 21:44 Bonsoir, depuis quelques heures j'ai un serveur qui prend 150 mbit/s de trafic entrant. Et ca suffit pour le rendre complètement inaccessible même en ssh. Perte du ping, alerte des outils de monitoring, ... Bref tout va mal. N'ayant plus d'accès ssh à la machine, sauf en mode rescue, vous me conseillez de faire quoi?
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 02/02/2011 à 22:58 Si c'est la carte réseau qui sature, ça va être difficile de faire quelque chose. Si c'est juste ton serveur qui sature pour refuser les requêtes, une bonne règle iptables qui ignore le type de trafic posant problème (UDP, et autre), et le tour sera joué. Iptables va peut être prendre 80 % de tes ressources, mais au moins tu aura la main sur la machine. Il y a un bon tuto sur guides.ovh.net pour la mise en place de firewall. FirstHeberg.com
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 03/02/2011 à 09:56 Salut Jérémy, je pense que c'est la carte réseau qui sature car le serveur a de bonnes perf (c'est l'EG AMD d'ovh). Donc si c'est bien elle, je ne peux qu'attendre? (pas d'accès ssh donc impossible de faire d'utiliser iptable)
caaptusss \| Jérémy Membre Inscrit le : 25/09/2007	# Le 03/02/2011 à 09:59 Ouvre un ticket incident sur OVH. Si ce n'est qu'une IP, ils vont peut être pouvoir la blacklister, autrement, tu as la solution du firewall que tu peux installer au cul de ton serveur, ça coute 20 € / mois en plus. FirstHeberg.com
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 03/02/2011 à 10:03 Je vais regarder de ce côté. Merci ;)
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 03/02/2011 à 10:19 Si c'était la carte réseau, pourquoi ça marcherait en rescue ? daevel : infogérance et conseil \|\| moi
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 03/02/2011 à 10:24 Exact. Mais dans tout les cas, je n'aurais pas pu trouver l'ip qui flood. (j'ai de nouveau accès au serveur, il n'y a plus de trafic entrant pour le moment).
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 03/02/2011 à 12:05 Profites-en pour regarder dans les logs si tu n'as pas des alertes concernant conntrack. daevel : infogérance et conseil \|\| moi
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 04/02/2011 à 14:05 J'ai vérifié les logs je n'ai rien concernant conntrack. Pas d'attaque depuis hier

Auteur

Message

Inscrit le : 08/05/2007

# Le 02/02/2011 à 21:44

Bonsoir,

depuis quelques heures j'ai un serveur qui prend 150 mbit/s de trafic entrant. Et ca suffit pour le rendre complètement inaccessible même en ssh.

Perte du ping, alerte des outils de monitoring, ... Bref tout va mal.

N'ayant plus d'accès ssh à la machine, sauf en mode rescue, vous me conseillez de faire quoi?

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 02/02/2011 à 22:58

Si c'est la carte réseau qui sature, ça va être difficile de faire quelque chose. Si c'est juste ton serveur qui sature pour refuser les requêtes, une bonne règle iptables qui ignore le type de trafic posant problème (UDP, et autre), et le tour sera joué. Iptables va peut être prendre 80 % de tes ressources, mais au moins tu aura la main sur la machine.

Il y a un bon tuto sur guides.ovh.net pour la mise en place de firewall.

FirstHeberg.com

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 03/02/2011 à 09:56

Salut Jérémy, je pense que c'est la carte réseau qui sature car le serveur a de bonnes perf (c'est l'EG AMD d'ovh).

Donc si c'est bien elle, je ne peux qu'attendre? (pas d'accès ssh donc impossible de faire d'utiliser iptable)

caaptusss | Jérémy
Membre

Inscrit le : 25/09/2007

# Le 03/02/2011 à 09:59

Ouvre un ticket incident sur OVH. Si ce n'est qu'une IP, ils vont peut être pouvoir la blacklister, autrement, tu as la solution du firewall que tu peux installer au cul de ton serveur, ça coute 20 € / mois en plus.

FirstHeberg.com

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 03/02/2011 à 10:03

Je vais regarder de ce côté. Merci ;)

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 03/02/2011 à 10:19

Si c'était la carte réseau, pourquoi ça marcherait en rescue ?

daevel : infogérance et conseil || moi

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 03/02/2011 à 10:24

Exact. Mais dans tout les cas, je n'aurais pas pu trouver l'ip qui flood.

(j'ai de nouveau accès au serveur, il n'y a plus de trafic entrant pour le moment).

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 03/02/2011 à 12:05

Profites-en pour regarder dans les logs si tu n'as pas des alertes concernant conntrack.

daevel : infogérance et conseil || moi

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 04/02/2011 à 14:05

J'ai vérifié les logs je n'ai rien concernant conntrack. Pas d'attaque depuis hier

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.