Introduction :

Par défaut et pour des raisons de compatibilité des applications de votre système, OS X 10.6 boot avec le noyau 32 bits.

Capacité et valeur par défaut selon les modèles :

Etat actuel du système :

Ouvrez l'application 'Informations Système' et référez vous à la section 'Logiciel' pour connaitre le type de boot actuellement utilisé par défaut.

Démarrage exceptionnel en mode 64 bits :

Il suffit de maintenir les touches '6' et '4' enfoncées lors du boot pour activé le noyau 64 bits ; Cette méthode n'est pas définitive et ne permet donc pas de booter à chaque fois en 64 bits sans intervention de votre part (maintient des touches '6' et '4').

Connaitre la version de son BIOS :

Si votre mac dispose du 64-bit EFI alors vous pouvez booter en mode pleinement 64 bits. Notez que Apple désactive le noyau 64 bits des Macbooks même ceux avec le 64-bit EFI.
Ainsi pour vérifiez la version installé sur votre Mac, ouvrez l'application Terminal et tapez la commande suivante :

Démarrer en 64 bits par défaut :

Voici comment sélectionner de manière définitive le noyau à utiliser à chaque démarrage du système : Il suffit de modifier la valeur de la clé 'Kernel Flags' dans le fichier /Library/Preferences/SystemConfiguration/com.apple.Boot.plist

Recherchez les lignes suivant :
et remplacez les par :

Conclusion :

Votre système bootera désormais à chaque fois en mode 64 bits.
Pour démarrer exceptionnellement en mode 32 bits, pressez les touches '3' et '2' au moment du boot.

Après un restart de la machine, le serveur web ne fonctionne pas.
La méthode qui suit va nous permettre de redémmarrer apache sans erreur cependant si après le reboot du serveur apache ne fonctionne plus, alors cela signifie qu'apache à rencontré un problème et n'a donc pas pu se lancer correctement. Cette article ne traite pas de la résolution du problème d'origine car les raisons peuvent être nombreuses. Consultez vos log pour connaitre l'origine du problème ; dans le cas de cet article, l'erreur était dut à l'utilisation d'un certificat ssl crypté, apache demandé la passphrase et ne la recevant pas il ne pouvait démarrer. L'utilisation d'une clef décrypté à alors résolu le problème.
Arrêt du serveur :
Au démarrage du serveur l'erreur suivante est retournée : Un processus semble déjà écouter sur le port 80 : Le processus existe bien, son PID est 2335, nous devons le supprimer afin de pouvoir démarrer apache sans erreur : Apache devrait alors se lancer sans erreur.

Utilisons les modules Recent et TCP d'iptables pour bannir les IP à l'origine de scan de vulnérabilités comme w00tw00t.at.ISC.SANS.DFind:
Nous allons établir une règle qui ne va filtrer que le paquet qui nous intéresse, en l'occurence le premier contenant la requête HTTP (GET, POST...). Tous les autres paquets de la connexion seront ignorés.
Rappel concernant l'établissement d'une connexion TCP :

• le client se connecte au serveur en envoyant un paquet SYN (Synchronize).
• le serveur répond en envoyant un paquet SYN+ACK (Synchronize + Acknowledgement).
• le client répond avec un paquet ACK (Acknowledgement).
• la communication est dès lors établie, le client peut envoyer les données PSH+ACK (Push + Acknowledgement), le serveur va y répondre et ainsi de suite jusqu'à la fermeture de la connexion.

Concept :

• recherche élargie :
  certain script-kiddies modifient la chaîne "GET /w00tw00t.at.ISC.SANS." avec un éditeur hexadécimal (ex : "GET /test.w00t:)"). Pour contrer cette limitation, le filtrage doit aussi porter sur le fait que la requête n'est pas conforme au protocole HTTP v1.1 et se baser sur la séquence "HTTP/1.1" + 2 retours à la ligne (CR/LF/CR/LF) qui sera convertie en hexadécimale avec le paramètre --hex-string.
• blacklist de l'IP :
  à chaque fois que DFind sera détecté, il sera blacklisté pendant 6 heures grâce au module ipt_recent d'iptables. Si l'attaquant revient avant la fin l'expiration de la période de bannissement, 6 heures seront à nouveau ajoutées à cette période (paramètres --update).
• reset de la connexion :
  le paquet est rejeté et la connexion immédiatement terminée (-p tcp -j REJECT --reject-with tcp-reset). Ici, l'utilisation de DROP n'est pas très intéressante car le blocage intervient après la séquence d'établissement de la connexion et de ce fait, le scanner sait qu'il y a un serveur HTTP connecté. Il est donc inutile de vouloir lui faire croire le contraire, ni même de perdre du temps.

Contenu du script anti-w00tw00t_rules.sh :

Vérifications :

Une fois les règles en place il est possible d'avoir un apperçu des paquets et nombres d'octets rejetés avec iptables : Voir les IP blacklistées (deux dernières règles) :
Source :
Utiliser iptables pour bloquer les chaines de caractères (1ere partie)
Utiliser iptables pour bloquer les chaines de caractères (2eme partie)

Pour ceux qui auraient encore dans leurs logs apache des lignes comme celle-ci :
Ce script permet de lister dans un fichier texte les ip présentes dans les log apache et ayant envoyé des requêtes de scanne de vulnérabilités :