DDOS sur Apache avec Oracle ?

Feldunost · 11/03/2012, 18h46

Bonjour,

Nous avons un souci très gênant, nous disposons d'un serveur dédié OVH sur lequel nous avons mis VMware ESXi5 avec son ip dédiée.

Par IP Failover nous avons attribué l'ip sur un Windows Server 2003, qui dispose d'Oracle 9i et de certaines applications critiques suivantes:

-> Serveur web APPServer
-> Mysql
-> Oracle
-> un site web qui a une page d'enregistrement pas très sécurisée vla oci.dll (pdo_connect, désactivable)
-> Utorrent pour le partage d'une application cliente (allège la charge de httpd.exe qui déconne pas mal)

La protection contre les scans de ports fonctionne (testé avec Nmap qui considère le host comme down)

Maintenant on a eu quelques ddos par flood udp que nous pouvons voir dans le MRTG, la bande passante n'est même pas pleine, y'a de la marge d'ailleurs ...

Le problème d'un flood comme celui ci, c'est que apache est down, l'accès RDP est down (on peut accéder via VMWare Client) et l'accès au serveur d'application (spécifique, on ne peut pas y toucher) est down.

-> Oracle ne subit pas de flood car il écoute sur l'ip locale 127.0.0.1, de plus même en désactivant l'enregistrement spécifique que nous avons fait, le flood est toujours fonctionnel ...

Par ailleurs j'ai pensé passer de APPServer à LiteSpeed:

Le souci de celui ci est que il n'accepte QUE 150 connexions concurrentes, malgré le fait qu'il soit extrêmement rapide, mais ne fonctionne pas sous Windows.

Du coup je serai obligé de faire écouter le listener d'oracle sur l'ip externe (failover de windows) si je comptais mettre le serveur web sur une autre VM sur Debian par exemple.

C'est une situation bien énervante actuellement, car nous connaissons la personne qui flood, mais aucun log n'est visible pour le bloquer via htaccess, de plus nous ne disposons pas de firewall matériel, mais d'un firewall logiciel qui est basé sur Kaspersky file server ...

Merci pour les remarques / aides / tips précieux qui pourraient nous permettre de changer bien des choses.

Cordialement.

Feldunost · 11/03/2012, 20h28

La situation est très urgente, pour toute info que vous souhaitez savoir, ou des tests, me prévenir avant que je puisse au moins faire une sauvegarde en prévision.

Merci.

11/03/2012, 18h46	#1
Feldunost Invité régulier Fabien Inscription : avril 2010 Messages : 73 Détails du profil Informations personnelles : Nom : Fabien Informations forums : Inscription : avril 2010 Messages : 73 Points : 8 Points : 8	DDOS sur Apache avec Oracle ? Bonjour, Nous avons un souci très gênant, nous disposons d'un serveur dédié OVH sur lequel nous avons mis VMware ESXi5 avec son ip dédiée. Par IP Failover nous avons attribué l'ip sur un Windows Server 2003, qui dispose d'Oracle 9i et de certaines applications critiques suivantes: -> Serveur web APPServer -> Mysql -> Oracle -> un site web qui a une page d'enregistrement pas très sécurisée vla oci.dll (pdo_connect, désactivable) -> Utorrent pour le partage d'une application cliente (allège la charge de httpd.exe qui déconne pas mal) La protection contre les scans de ports fonctionne (testé avec Nmap qui considère le host comme down) Maintenant on a eu quelques ddos par flood udp que nous pouvons voir dans le MRTG, la bande passante n'est même pas pleine, y'a de la marge d'ailleurs ... Le problème d'un flood comme celui ci, c'est que apache est down, l'accès RDP est down (on peut accéder via VMWare Client) et l'accès au serveur d'application (spécifique, on ne peut pas y toucher) est down. -> Oracle ne subit pas de flood car il écoute sur l'ip locale 127.0.0.1, de plus même en désactivant l'enregistrement spécifique que nous avons fait, le flood est toujours fonctionnel ... Par ailleurs j'ai pensé passer de APPServer à LiteSpeed: Le souci de celui ci est que il n'accepte QUE 150 connexions concurrentes, malgré le fait qu'il soit extrêmement rapide, mais ne fonctionne pas sous Windows. Du coup je serai obligé de faire écouter le listener d'oracle sur l'ip externe (failover de windows) si je comptais mettre le serveur web sur une autre VM sur Debian par exemple. C'est une situation bien énervante actuellement, car nous connaissons la personne qui flood, mais aucun log n'est visible pour le bloquer via htaccess, de plus nous ne disposons pas de firewall matériel, mais d'un firewall logiciel qui est basé sur Kaspersky file server ... Merci pour les remarques / aides / tips précieux qui pourraient nous permettre de changer bien des choses. Cordialement.
	00

11/03/2012, 20h28	#2
Feldunost Invité régulier Fabien Inscription : avril 2010 Messages : 73 Détails du profil Informations personnelles : Nom : Fabien Informations forums : Inscription : avril 2010 Messages : 73 Points : 8 Points : 8	La situation est très urgente, pour toute info que vous souhaitez savoir, ou des tests, me prévenir avant que je puisse au moins faire une sauvegarde en prévision. Merci.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email