Je vous explique mon problème...
J'ai un serveur web sous Fedore Core 6 (apache, serveur mail, cvs, ...) qui tourne très bien depuis quelques semaines.
Seulement ce matin plus rien ne va, impossible de se connecter au serveur mail ou cvs, je reçois un timeout.
Par contre, je peux toujours me connecter en ssh ou via la console vmware.
Je fais un netstat -an et là je vois que j'ai plus de 400 connexions sur ma machine en CLOSE_WAIT. Ce qui est bizarre la dedans c'est que le port DISTANT est le 80 et que lorsque je fais des whois des adresses IPs, ce sont des adresses allemandes, russes, etc... bizarre vu qu'il s'agit d'un serveur de test qui ne devrait être accessible qu'à quelques personnes...
Voici quelques lignes du résultat de mon nestat :
- Code: Tout sélectionner
cp 0 0 x.x.x.x:48035 193.120.14.241:80 CLOSE_WAIT
tcp 0 0 x.x.x.x:39742 24.226.6.67:80 CLOSE_WAIT
tcp 0 0 x.x.x.x:32889 134.53.131.9:80 CLOSE_WAIT
tcp 0 0 x.x.x.x:52938 129.143.116.10:80 CLOSE_WAIT
tcp 0 0 x.x.x.x:36551 212.201.68.60:80 CLOSE_WAIT
Je me suis dit que ce nombre impressionnant de connexion devait être la cause de mes timeout et j'ai donc essayé de les supprimer mais je n'ai pas trouvé de commande pour faire cela. J'ai donc effectué un reboot physique de la machine et là tout refonctionne.
Je refais un netstat régulièrement et je vois que différentes ips essaie à nouveau de se connecter sur des ports bizarres. J'ai donc configuré iptables et ça semble aller maintenant.
Mais c'est quoi exactement cette histoire? J'ai l'impression d'être la cible d'une attaque? Pensez-vous que ça pourrait être le cas?
Merci d'avance pour vos réponses![/code]
(trojan, vers...)