Plantage Du Service Web

[KZL]

Bonjour,

J'ai un problème face auquel je ne sais pas trop quoi faire. Je n'ai pas fait de modification particulière depuis 2 semaines et là le service web de mon Syno plante lamentablement ^^"

Impossible d'y avoir accès de manière continue. J'ai des erreurs serveur not found, la page ne se charge pas. Le problème est apparu il y a quelques heures.

Comment pourrais-je débugger ce problème pour en trouver la cause, si il y en a une ? Le CPU et la RAM n'est pas au max je précise et je n'ai aucun problème de connexion..

Merci

[domlas]

As tu consulté le sjournaux du syno pour voir si il y a un trafic "bizarre" ?

Ton problème pourrait bien être lié à un piratage en relation avec une attaque de masse sur les bitcoins qui dure depuis justement une quinzaine de jours.

[KZL]

Merci pour cette réponse. Je regarde demain à la première heure demain le trafic. Syslog ? Ou y a un autre moyen ?

Est ce que tu peux m'en dire plus concernant ces attaques ? Le moyen d'en lutter ?

[domlas]

Je n'en sais pas vraiment plus. mais ici plusieurs en ont parlé fréquemment ces dernières semaines.

[KZL]

Pas d'attaques particulières.

Mais ma connexion est vraiment mauvaise je ne comprends pas pourquoi. Ce n'est pas seulement le service web qui plante. Aujourd'hui je n'ai pas eu de connexion..

Quand je branche le Syno le problème apparait, impossible d'avoir internet mon routeur plante.. on dirait.

Et quand je le débranche la connexion revient et j'ai une super connexion..

etc..

Vous pouvez m'aider, le problème est déjà apparu chez quelqu'un ?

Edit : Bon là le problème semble être passé temporairement.. J'aimerai vraiment pourquoi avoir un outil pour diagnostiquer les erreurs sur mon réseau.

Edit 2 : J'ai rien dit, le problème réapparait quelques secondes après avoir rebranché l'ethernet du Syno. J'aimerai quand même savoir comment un appareil peut foutre en l'air une connexion.

Modifié le 10 mars 2014 par KZL

[domlas]

Oui ça semble bien ressembler à l'attaque bitcoins ou quelque chose de semblable. De petits malins se servent de nos syno pour lancer des opérations type deni de service. Ton syno a été infesté par un bout de logiciel qui envoie en permanence des messages sur internet vers un service qui est choisi comme cible.

Si ta connexion est bonne syno éteint et qu'elle plante syno allumé il y a un gros doute.

Je ferais un double reset et je rechargerais le DSM. Attention le même DSM, même version et même numéro de série que celui qu'il y avait sur le syno. Ne pas tenter le rechargement d'une version antérieure, le syno refuse. Et ne pas tenter de faire en même temps une mise à jour. Chaque chose en son temps et une seule opération à la fois, c'est la seule façon sûre de savoir précisément d'où pouvait venir le problème. La mise à jour (si nécessaire) ne devra se faire que si on arrive à remettre le syno en bon fonctionnement, comme il était précédemment. La mise à jour ne "répare" jamais un mauvais fonctionnement mais accentue au contraire les dégâts.

[KZL]

Merci pour l'info.. Je vais me documenter sur ce problème, car ce n'est pas la première fois que je suis face à ce problème et en effet la seule solution que j'ai trouvé c'est de réinstaller le DSM avec un 2xReset.

Le problème c'est que j'ai des services en lignes et une organisation que je ne veux pas perdre, car cela va me prendre la soirée de tout réinstaller.

Je vais tenter de sniffer mon réseau pour voir ce qu'il se passe en sortie sur mon serveur. De plus j'ai limité le débit des services et le problème semble être moins important. J'ai de nouveau internet, le syno branché.

[domlas]

Zt as tu mis en service le système de protection du syno ? Celui qui vérifie les IP entrantes qui se plantent et qui les met en blocage après 5 tentatives infructueuses en quelques minutes ? C'est une excellente protection.

[KZL]

Oui je bloque les ip qui tentent plus de 5 accès en 15 min.

J'aurai juste une question. Les attaques bitcoin sont les attaques dont on parlait le mois dernier ? avec l'update 4 qui résolvait la faille ?

Car j'ai appliqué l'update en ayant bien vérifié que je n'étais pas infecté.

Je remarque que mon serveur est tout le temps à 90% d'utilisation du CPU avec 70% pour les utilisateurs alors qu'y a juste le compte admin qui est connecté. Ca peut avoir un lien ?

[domlas]

Tu devrais peut être te mettre en rapport avec ce gars qui semble avoir des problèmes un peu semblables aux tiens....

[KZL]

Bon je reviens sur mon petit problème, j'ai un accès SSH.

Mais plus de serveur web, alors que je n'ai rien modifié. Pas d'autres idées que les bitcoins ?

Edit : Et CPU utilisé à 95%

C'est peut-être la Time Machine. C'est possible ça ? ^^

Je cherche, je cherche.. J'ai regardé les logs, les temps concordent et puis là j'avais 4Go qui se sont rajoutés, je vais regardé plus en détail de ce côté là. Peut-etre que c'est un début de solution.

Modifié le 12 mars 2014 par KZL

[jcpamart]

T'es sur quelle version du DSM ?

[KZL]

En DSM 5

[jcpamart]

Le problème vient donc de là. Moi non plus je n'ai plus accès à mes sites web.

Visiblement, y a eu des changement de droits sur cette dernière version du DSM. J'ai contacté le support mais pas encore de réponse.

Donc presque sur à 99% que ça vient du DSM et non d'une attaque ou autre....

A creuser. Si j'ai du neuf, je reviens vers toi

[KZL]

J'avais le pb aussi sous le DSM 4.3 ^^ Ne faisons pas de conclusions hâtives

[jcpamart]

ah ! ben moi pas !

[CoolRaoul]

Le problème vient donc de là. Moi non plus je n'ai plus accès à mes sites web.

Visiblement, y a eu des changement de droits sur cette dernière version du DSM. J'ai contacté le support mais pas encore de réponse.

C'est exact et c'est même documenté dans les releases notes.;

The “http” group (http) is the service account for Web Station, introducing better flexibility and security. Web applications will run as the same permission as “http” group. We suggest reviewing the permissions of the web folder and assign appropriate permissions to http group.

Étonnant que tu ne les ais pas lues (moi c'est la première chose que je fait à chaque changement de version et d'autant plus si je rencontre un problème)

Modifié le 13 mars 2014 par CoolRaoul

[KZL]

C'est un problème temporaire, ça ne peut pas être un problème de droit.

J'ai bien fait attention aux droits d'ailleurs (et réparé les pb avec les modules auth d'Apache).

Je vous tiens au courant si mon serveur plante lamentablement encore une fois et je ferai gaffe à la sauvegarde Time Machine.

[CoolRaoul]

C'est un problème temporaire, ça ne peut pas être un problème de droit.

J'ai bien fait attention aux droits d'ailleurs (et réparé les pb avec les modules auth d'Apache).

Euh .. je ne répondais qu'à jcpamart (c'est pourquoi que je l'ai cité d'ailleurs) qui soupçonnait explicitement un problème de droits dans son cas perso.

Qaudn à ton pb de CPU un petit "top" pourrait nous mettre sur une piste

[KZL]

Je n'avais pas compris que ct un problème permanent chez jcpamart.

Sinon la commande top a mis en haut de la liste la Time Machine. C'est ce qui m'a fait pensé à ça. Et j'ai vu que 4Go se sont ajouté d'où peut-être la surcharge.

[jcpamart]

Ce groupe n'existait pas aupravent certe et je l'avais lu, merci.

Mais audelà de ça, dans mon cas, les services web ne sont plus accessibles après la MAJ. C'est en cela que j'ai fais le lien, mais ne possède pas la réponse.

Autre chose, le mail station ne devient accessible de l'extérieur qu'en https, et non plus en http classique (saus en local), ça aussi j'imagine que tout ça aussi c'est normal ??

[KZL]

Bonjour,

Je vous confirme que mon problème venait de processus du syno qui surchargeaient mon CPU

Je ne sais pas encore comment les limites mais je pense que cela doit être possible.

Modifié le 16 mars 2014 par KZL