Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    C'est en sortant du mode maintenance. Peut être une réaction d'un plugin installé qui signale que le site est à nouveau en fonction ?

    A noter qu'à ce moment là, Tapatalk (et son dossier mobiquo) n'était toujours pas réactivé ( donc ce n'est pas lui).

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Aucune idée... Le mode maintenance bloque les requêtes entrantes et ne fait rien d'autre. Les requêtes sortantes ne sont pas bloquées par le mode maintenance.

    Bonne soirée

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Bonjour

    Après avoir passé pratiquement deux jours à revalider progressivement chaque dossier dans plugins/system j'ai finalement sans doute trouvé l'origine du problème.

    En supprimant le plugin de Daniel Dimitrov (dossier plugin : cupdater) qui sert à avertir par mail quand il y a des maj à effectuer sur un composant, j'ai pu remettre en service mon site et depuis maintenant plusieurs heures, aucun log out n'a été généré.

    Sauf au moment où j'ai basculé AeSecure du mode maintenance au mode normal. j'ai obtenu 3 lignes "out"
    [2016 Apr 9 11:45:55] [867079.214694] TCP:53747 => 72.52.91.14:80 (CA US)
    [2016 Apr 9 11:45:55] [867079.775929] TCP:53748 => 72.52.91.14:80 (CA US)
    [2016 Apr 9 11:45:56] [867080.846645] TCP:47461 => 108.161.187.134:80 NETDNA-01 (CA US)

    Peut être que Cavo pourra nous en dire plus ?

    Merci aux intervenants qui même s'ils n'ont pas trouvé de solution sont toujours d'un soutien certain quand on se trouve confronté à un tel problème.

    Et si ça peut servir à d'autres,
    Ce plugin a donc posé problème dans un site sous joomla 2.5.28 alors que je l'ai aussi dans des sites sous Joomla 3 qui n'ont rien.

    Ou alors c'est ce plugin qui aurait été hacké ?
    (A noter qu'il n'a au aucune MAJ depuis 2014).

    Je peux faire un zip du dossier plugins/system/cupdater pour qui veut regarder (il n'y a que 3 fichiers).

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Un peu de nouvelles.

    J'ai enfin trouvé les infos temps réel dans les logs d'OVH et suis en train de renommer un par un chaque sous dossier de /plugins afin de déterminer lequel serait à l'origine du problème.

    J'ai commencé hier. Je doit attendre environ un quart d'heure entre chaque manip afin d'attendre les logs suivants (qui ne sont pas aussi temps réel que ça).

    Cette nuit, j'ai déterminé deux potentiels vainqueurs : dans plugins/system

    - soit le sous dossier /cache

    - soit le sous dossier /cupdater qui a déjà fait parler de lui par le passé :


    Quelqu'un peut il me dire à quoi sert ce sous dossier cache dans les plugin/system (même si cache je sais ce que ça veut dire).

    Aujourd'hui je continue donc à revalider un par un chaque sous-dossiers suivants tout en surveillant les logs.

    Bien évidemment le site est à nouveau accessible ce qui est une bonne nouvelle, même si je ne peux pas encore le remettre en ligne tant que des sous dossiers de plugins seront invalidés et nécessaire à son fonctionnement.


    Merci à vous.

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Mais sans mobiquo, point d'acces au forum par Tapatalk.
    Mais vu le peu d'utilisateurs de notre asso à l'utiliser, je peux m'en passer un moment. C'est surtout pour moi, pour surveiller le forum.

    Laisser un commentaire:


  • chabi01
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    attendre 15mn n'est pas forcément suffisant pour un mutu ovh.
    Attention, d'après ce que j'ai lu, mobiquo.php semble poser souci sur de multiples sites (à vérifier : je n'utilise pas cette extension).
    Cordialement,

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    En fait, après vérification, j'ai renommé la racine du site le 31/03 à 17h56
    Depuis les logs out avaient cessés.

    Ceux que j'ai fourni plus haut le 4/4 à 1h25 correspondent exactement à une période où j'avais remis www pour faire des tests.

    Cliquez sur l'image pour l'afficher en taille normale

Nom : Image3.jpg 
Affichages : 1 
Taille : 149,6 Ko 
ID : 1805464

    dans les stats on peut voir que mobiquo apparait. Pour moi il s'agissait (peut etre) d'un accès du serveur Tapatalk pour la partie forum de mon site. Le 4 à 1h24 j'avais renommé les dossiers mobiquo et attendu plus d'un quart d'heure mais mon site était toujours inaccessible.

    Je constate aussi (aujourd'hui) un plugin actif dans le dossier jckeditor.

    Je vais suivre vos conseils à la lueur de ces infos. Je pensais renommer à nouveau les dossiers mobiquo et jckeditor et remettre le site en ligne en remettant www ?
    Dernière édition par glenan à 05/04/2016, 12h34

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

    Le log que tu fournis n'est pas un log des accès Apache; ce ne sont pas des "hacks" de ton site web.

    Ma compétence s'arrête ici; je n'ai pas de compétence de gestionnaire de serveur. Il te faudrait un mec (OVH???) qui puisse te dire ce qui génère ces connexions.

    (tu es sûr que ce sont des connexions sortantes et pas, au contraire, des tentatives de connexions telles que p.e. un ping sur ton serveur?)

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Envoyé par chabi01 Voir le message
    Si tu ne trouves pas, recontacte Ovh en leur disant que tu as rendu le site inaccessible en renommant ton dossier, ce qui rend impossible l'accès à un quelconque script : à partir de là, tu peux leur demander d'expliquer ce qui ne va pas pour eux.
    Normalement, lorsqu'OVH bloque et avertit de cette manière, il fournit la plupart du temps la ligne de log qui correspond au problème sur demande, ce qui te permet de trouver l'origine du problème.
    C'est déjà fait. Ca ne leur fait ni chaud ni froid
    Je n'ai jamais eu de ligne de log fournie par OVH jusqu'à ce que je les contacte par téléphone et après avoir insisté pour avoir justement une piste à suivre.

    Leur seul réponse, ça vient du site donc ce n'est pas de leur ressort.
    Dernière édition par glenan à 05/04/2016, 12h34

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Voilà les log "out" du 4 avril.

    La principale IP indiquée par OVH se trouve toujours présente (109.169.34.132) un site qui ne répond plus aujourd’hui.


    [2016 Apr 4 01:25:23] [397946.572566] TCP:34159 => 108.161.187.134:80
    [2016 Apr 4 01:25:23] [397946.737847] TCP:34160 => 108.161.187.134:80
    [2016 Apr 4 01:25:25] [397948.430714] TCP:46754 => 54.239.158.39:80
    [2016 Apr 4 01:25:25] [397948.507182] TCP:34164 => 108.161.187.134:80
    [2016 Apr 4 01:25:28] [397951.345051] TCP:43656 => 109.169.34.132:80
    [2016 Apr 4 01:25:29] [397952.342307] TCP:43656 => 109.169.34.132:80
    [2016 Apr 4 01:25:31] [397954.345865] TCP:43656 => 109.169.34.132:80
    [2016 Apr 4 01:25:35] [397958.356966] TCP:43656 => 109.169.34.132:80
    [2016 Apr 4 01:25:43] [397966.375202] TCP:43656 => 109.169.34.132:80
    [2016 Apr 4 01:25:59] [397982.399669] TCP:43656 => 109.169.34.132:80
    [2016 Apr 4 01:26:31] [398014.456560] TCP:43656 => 109.169.34.132:80

    A noter qu'il y a eu aucun log "out" depuis le debut du mois jusqu'au 4

    Les logs du 5 ne seront évidemment dispo que demain.
    Dernière édition par glenan à 05/04/2016, 12h34

    Laisser un commentaire:


  • chabi01
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

    Si tu ne trouves pas, recontacte Ovh en leur disant que tu as rendu le site inaccessible en renommant ton dossier, ce qui rend impossible l'accès à un quelconque script : à partir de là, tu peux leur demander d'expliquer ce qui ne va pas pour eux.
    Normalement, lorsqu'OVH bloque et avertit de cette manière, il fournit la plupart du temps la ligne de log qui correspond au problème sur demande, ce qui te permet de trouver l'origine du problème.

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

    C'est surtout, oui, la ligne du log qui est intéressante puisqu'en principe, si nous avons bien compris chabi, le dossier www a été renommé ==> l'URL http:// lesite/lescript_malveillant.php n'est donc plus accessible depuis le browser ni même une tâche cron. Alors, en effet, ce serait sympa de savoir quelle est l'URL qui malgré ce renommage continue à être fonctionnelle parce que, ça, cela m'étonnerait beaucoup que ce soit un fichier qui était dans le dossier www.

    Je doute même que le log Apache puisse mentionner autre chose que des 404 (fichier non trouvé) pour toutes les requêtes.

    Non, pour moi, cela n'est pas un script "web" mais autre chose et ça, c'est l'hébergeur qui devrait pour expliciter l'origine, ce n'est plus du ressort de Joomla IMHO.

    Laisser un commentaire:


  • chabi01
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

    Bonjour,
    Il y a forcément un script qui est appelé depuis l'extérieur : soit c'est un élément de Joomla qui est exploité, soit c'est un fichier qui a été implanté sur ton hébergement qui est appelé.
    Si ton site est impossible à atteindre à partir du moment où tu le rends indisponible, ce n'est alors pas un problème de site mais peut-être alors comme l'écrit Christophe à un autre niveau : si ce n'est pas le site, c'est l'accès ovh qui est compromis : quelqu'un a eu accès aux infos et a mis en place quelque chose sur l'hébergement. Passe scrupuleusement et sans sauter un seul élément tout ce qu'il y a sur l'hébergement aux niveau des emails, bdd, mailing list, etc..

    Dans les logs d'OVH, tu vois les ip : peux-tu en dire plus ? Un exemple d'une ligne du log ?

    Laisser un commentaire:


  • glenan
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in d'après l'hebergeur

    Merci Christophe,

    C'est ce que mavait indiqué la hot line OVH.
    Entre le début de mon post et aujourd'hui, les choses ont évoluées. J'aurais pu renommer le titre.

    Je confirme, malgré le renommage de la racine du sie de www dans un autre nom, ovh me confirme (et les logs aussi) qu'il y a toujours un traffic anormal. Pour le reste, mes connaissances ne me permettent pas de comprendre plus que ça.

    Les logs OVH me donnent des adresses IP mais pas qui les génère.

    J'aimerais avoir une solution pour connaître la source de ce traffic. Origine site ? Origine bdd ?

    J'attend une aide extérieure et vous tiens au courant.
    Dernière édition par glenan à 05/04/2016, 12h33

    Laisser un commentaire:


  • cavo789
    a répondu
    Re : Site web innaccessible - Accès trop nombreux d'un plug-in vers la bdd ?

    Bonsoir Glenan

    Je ne comprends pas trop...

    Le titre de ton sujet est "Accès trop nombreux d'un plug-in vers la BDD" et nous parlons de hack. Cela ne semble pas être la même chose...

    As-tu pû valider le fait que ton site est bel et bien hacké (auquel cas il faudra le nettoyer) ?

    Dans ton dernier post, tu mentionnes avoir renommé le dossier www en un dossier bidon; donc ce faisant, les scripts qui étaient dans www ne sont plus appelables par une adresse web. J'ai un gros doute que du spam puisse encore être fait dans ces conditions ou, alors, tu ne cherches pas à la bonne place (peut-être un autre site ?, peut-être un job dans le cronjob, ...)

    Bonne soirée.

    Laisser un commentaire:

Annonce

Réduire
Aucune annonce pour le moment.

Partenaire de l'association

Réduire

Hébergeur Web PlanetHoster
Travaille ...
X