Connexions massives (pirates) vers une page supprimée

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Connexions massives (pirates) vers une page supprimée

    Bonsoir,
    je rencontre un problème dont je pense avoir trouver la cause mais je ne sais pas le résoudre !

    J avais un premier site (site vitrine avec peu de données) qui commencé à tourner difficilement sur joomla 2.5 (erreur serveur) du coup j ai tout supprimé (base de donné et fichiers) puis j ai fais réinstallé joomla 3.2 par un vendeur de template sûre (themeforest).

    et a nouveau problemes serveur !!!

    Voila, trop de connexions sur mon site (10 000 a 15 000) par jour, alors que c'est un site local ... donc pas normal !!!
    En farfouillant dans mes fichiers logs je me suis apercu que la plupart des connexions viennent de Russie, Chine, Pologne ..etc et pointent vers un article qui n existe plus !!!

    ex :
    216.244.71.210 - - [27/Feb/2014:00:01:34 +0100] "GET /index.php/profs/emily/item/98-l-enseignement/98-l-enseignement?start=427250
    112.111.173.143 - - [27/Feb/2014:00:01:35 +0100] "GET /index.php/news/item/98-l-enseignement/98-l-enseignement?start=443120

    etc....

    Je répète que cet article n existe plus, qu il était dans mon ancienne version (2.5) et que j ai supprimé tous les dossiers et base de donnée de l ancien !!!!

    SVP pourriez vous m aider car je ne sais plus quoi faire !!! Je me dis que dans cette situation je peux reinstaller autant de fois le site que je veux ça ne changera rien du coup je n ai pas de solution !!!!

    Cordialement, hoyoko

  • #2
    Re : Connexions massives (pirates) vers une page supprimée

    Bonsoir

    qui est l'hebergeur ?
    as tu mis en place une protection genre aesecure ou crawlprotect ? histoire de bloquer certaine IP et voir si ça se calme un peu ...
    Cette année, le JoomlaDay FR aura lieu à Bruxelles mais les dates du 15 et 16 mai 2020 sont reportées. Plus d'infos sur https://www.joomladay.fr

    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      Re : Connexions massives (pirates) vers une page supprimée

      Merci de ta réponse rapide.

      Mon hebergeur est 1and1.

      pour ce qui est de la protection, elle était mise en place sur l 'ancienne version du site (crawlprotect), le même ou il y avait l article en question sur lequel pointe toute les connexions ... et qui buggé déja.

      J ai mis pas mal de order deny dans mon .htaccess mais bon je ne m y connait pas trop en securité, mais à part d envoyer une erreur chez l internaute je pense que ça ne régle en rien mon problème de saturation ...

      Je vais tenter de re installé crawlprotect. Je crois qu il intervient avant l entrée de l internaute dans le site , cela peut régler mon problème de saturation ou ça risque de produire le meme effet que dans mon .htaccess ?

      En attendant je vais le re-balancer et je vous tiens au courant !
      Dernière édition par hoyoko à 28/02/2014, 10h56

      Commentaire


      • #4
        Re : Connexions massives (pirates) vers une page supprimée

        Envoyé par hoyoko Voir le message
        puis j ai fais réinstallé joomla 3.2 par un vendeur de template sûre (themeforest).
        hum... ça se discute... mais pas ici

        Envoyé par hoyoko Voir le message
        et a nouveau problemes serveur !!!

        Voila, trop de connexions sur mon site (10 000 a 15 000) par jour, alors que c'est un site local ... donc pas normal !!!
        En farfouillant dans mes fichiers logs je me suis apercu que la plupart des connexions viennent de Russie, Chine, Pologne ..etc et pointent vers un article qui n existe plus !!!

        ex :
        216.244.71.210 - - [27/Feb/2014:00:01:34 +0100] "GET /index.php/profs/emily/item/98-l-enseignement/98-l-enseignement?start=427250
        112.111.173.143 - - [27/Feb/2014:00:01:35 +0100] "GET /index.php/news/item/98-l-enseignement/98-l-enseignement?start=443120

        etc....
        quel est la suite des logs : une erreur 404 est générée en réponse? parce que si c'est la cas, tu n'as pas de soucis à avoir...

        Envoyé par hoyoko Voir le message

        Je répète que cet article n existe plus, qu il était dans mon ancienne version (2.5) et que j ai supprimé tous les dossiers et base de donnée de l ancien !!!!

        SVP pourriez vous m aider car je ne sais plus quoi faire !!! Je me dis que dans cette situation je peux reinstaller autant de fois le site que je veux ça ne changera rien du coup je n ai pas de solution !!!!

        Cordialement, hoyoko
        tu n'as pas grand chose à faire si ce n'est qu'à attendre qu'ils se fatiguent...
        Christophe
        http://www.webcrea.fr

        Commentaire


        • #5
          Re : Connexions massives (pirates) vers une page supprimée

          Bonjour,

          j ai installé crawlprotect sur le site , meme rangaine ....

          Par contre je me suis apercu que joomla ne renvoie pas d erreur 404 pour ma vieille page qui n existe plus ... mais me redirige automatiquement sur ma page d accueil !!!

          Du coup mon probleme est que tout ces connexions me créent une erreur que j ai deja vu ici .... a savoir :
          "Error displaying the error page: Application Instantiation Error"

          lorsque je vais sur ma bdd quand ce probleme apparait sur le site, ma base de donnée me renvoie "1203 trop d utilisateurs connectés ..."

          Donc je ne sais pas si je fais fausse route ... mais ce qui me vient la c est :

          - quel est le moyen dans joomla 3 pour afficher une erreur 404 et surtout pas rediriger vers la page d accueil ! (du coup si erreur 404 plus de requète et moins d utilisateurs pour ma base de données non ?)

          - y a t il un moyen dans crawlprotect pour pouvoir interdire l accés a certaine url exemple
          175.44.9.183 - - [02/Mar/2014:02:17:07 +0100] "GET /index.php/news/item/98-l-enseignement/98-l-enseignement?start=175240 ...
          112.111.175.142 - - [02/Mar/2014:02:17:18 +0100] "GET /index.php/news/item/98-l-enseignement/98-l-enseignement?start=311520 ...

          ... le probleme etant ce star= .... non ? donc interdire /index.php/news/item/98-l-enseignement/98-l-enseignement?

          Commentaire


          • #6
            Re : Connexions massives (pirates) vers une page supprimée

            là j'ai beaucoup de mal a te suivre ... elle existe ou pas cette page ???
            S'il y a une redirection vers la page d'accueil ... elle est bien quelque part !
            tu as un lien ... meme en MP ?
            Cette année, le JoomlaDay FR aura lieu à Bruxelles mais les dates du 15 et 16 mai 2020 sont reportées. Plus d'infos sur https://www.joomladay.fr

            Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

            Commentaire


            • #7
              Re : Connexions massives (pirates) vers une page supprimée

              Bon pour la redirection c''est réglé ... c'était uniquement le plugin système - redirection qui était installé je l ai donc désactivé.

              Manu si tu veux que je te passe mon ftp et liens si tu veux jeter un coup d oeil à mon fichier log voir si il y a un soucis ...après ptetre qu il faut que j appel mon hébergeur (1and1) en demandant plus d explications ... ce matin le serveur était en erreur 500, puis c'est reparti.

              Mon plus gros soucis c'est que de temps en temps le site renvoie ce fameux texte que j ai déjà vu sur des forums en essayant de suivre les explications mais sans succés

              Error displaying the error page: Application Instantiation Error

              (sauf que moi il n apparaît que de temps en temps, et je crois que c'est en même temps que sur mon phpmyadminil y a marqué le message d erreur 1203 : trop d utilisateurs conectés etc ...)

              a plus
              Dernière édition par hoyoko à 04/03/2014, 19h31

              Commentaire


              • #8
                Re : Connexions massives (pirates) vers une page supprimée

                Bonjour,
                Envoyé par hoyoko Voir le message
                Error displaying the error page: Application Instantiation Error

                (sauf que moi il n apparaît que de temps en temps, et je crois que c'est en même temps que sur mon phpmyadminil y a marqué le message d erreur 1203 : trop d utilisateurs conectés etc ...)
                Il s'agit d'une erreur classique lorsque le pool MySQL a atteint la limite en connexions concurrentes allouées à une base de données ou un utilisateur.

                Dans ce cas précis, il est fort probable que certaines requêtes en rafales atteignent bien Joomla! et donc provoquent des connexions (sessions, redirection, etc...), la limite en connexions concurrentes étant rapidement atteinte s'il y a 50 requêtes de ce genre qui arrivent simultanément.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : Connexions massives (pirates) vers une page supprimée

                  Bonjour, je n ai rien résolu mais j avance ...

                  Joomla prend bien en compte les erreurs 404 ... sauf lorsque il y a l "index.php" dans la barre d adresse .. et cela sur tous mes joomla ..essayez chez vous !!!

                  Pour être plus clair :

                  lesite.fr/blalala = erreur 404
                  lesite.fr/index.php/blalala = redirection vers lesite.fr/index.php


                  il existe bien le composant redirection de vieille url ... mais inutilisable dans mon cas !!!! car quasiment toutes différentes car du style :

                  lesite.fr/index.php/blablabla?start=7909
                  lesite.fr/index.php/blablabla?start=320
                  lesite.fr/index.php/blablabla?start=220896
                  etc...

                  Questions :

                  peux t on empécher l appel a index.php sur joomla comme ceci ?
                  lesite.fr = on continue
                  lesite.fr/index.php = 404 ou arret requete ?

                  ou sinon

                  Connaissez vous un moyen de rediriger les mauvaises adresses qui commencent par index.php ??? je m y connais un peu en php sans etre un crack!!! il me semble que cela est géré au tout début de "index.php"

                  ne puis je pas faire un truc du style structure conditionnelle genre :

                  if ( url contient les mots "blablabla") alors redirige vers la page erreur 404 ???? au debut de index.php

                  Questions subsidiaire ...

                  Est ce normal dans mon fichier log d voir ce genre de chose :
                  2002:add0:a502::add0etc ... puis adresse derrière
                  au lieu de
                  199.203.30.32 etc.. puis adresse derrière

                  Commentaire


                  • #10
                    Re : Connexions massives (pirates) vers une page supprimée

                    Bonjour je reviens vers vous ... sans avoir attendu que ça se calme .. et oui je suis comme ça

                    1) j ai crée au tout début de mon index.php une condition en incluant un pregmatch pour exclure les start=... par exemple de la variable SERVER['QUERY_STRING']
                    (sans faire de pub, merci a ce site très connu dont je tairai le nom ... qui m avait permis d apprendre non sans mal un peu de php qui m a bien servi pour le coup !!!)

                    2) recherche sur php my admin sur la base de donnée a effacer !!! (%height:0% était présent)
                    %display:none%
                    %height:0%
                    %visibility:hidden%

                    3) via l outil stats de 1and1, test des differentes url bizarres ... puis lorsque redirection vers page d'accueil, je suis aller rediriger à chaque fois via le composant redirection de joomla vers la page 404 que j ai crée à la racine

                    4) j ai repéré une url encore plus bizarre que les autres car lorsque j ai cliqué dessus a la fin ça faisait un truc du style base de donnée genre ...enseignement/i'('','','','10')' un truc comme ça un tantiné chelou ... lol

                    Donc je vais retourner régulièrement sur l outil stats et virer au fur et à mesure voir si il y a de nouveaux liens bizarre et je pense voir une diminution conséquente des requètes ... pour vous donner une petite idée , avant l installation du if dans l index :
                    15500 visites qui sont descendues progressivement vers 3000 ... ce nombre et un peu remonté (6000) mais j ai bon espoir la !

                    je vous tient au courant !!!

                    Commentaire


                    • #11
                      Re : Connexions massives (pirates) vers une page supprimée

                      Bonjour

                      Merci pour ton partage.


                      Envoyé par hoyoko Voir le message
                      2) recherche sur php my admin sur la base de donnée a effacer !!! (%height:0% était présent)
                      %display:none%
                      %height:0%
                      %visibility:hidden%
                      Peux-tu m'en dire plus sur ce que tu as fais ici ? Tu soupçonnais donc du code malveillant dans le contenu de la base de données et non dans un fichier .php présent sur ton site...

                      Quelles sont les requêtes que tu as lancées ? Est-ce dans les champs description de p.ex. com_content que tu as fais des recherches ? As-tu encore tes queries ? Je serais intéressé de les voir.

                      Merci.
                      Christophe (cavo789)
                      Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                      Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                      Mes logiciels OpenSource : https://www.avonture.be

                      Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                      Commentaire


                      • #12
                        Re : Connexions massives (pirates) vers une page supprimée

                        Envoyé par cavo789 Voir le message
                        Peux-tu m'en dire plus sur ce que tu as fais ici ? Tu soupçonnais donc du code malveillant dans le contenu de la base de données et non dans un fichier .php présent sur ton site...

                        Quelles sont les requêtes que tu as lancées ? Est-ce dans les champs description de p.ex. com_content que tu as fais des recherches ? As-tu encore tes queries ? Je serais intéressé de les voir.
                        Bonjour,
                        tout d abord je tiens a préciser que je suis juste un newbie en programmation php / sql, j ai quelques notions en html et css aussi mais rien de trop mirobolant ...

                        J ai piqué quelques explications concernant la sécurité sur ce site :
                        http://ralph.davidovits.net/internet...html#fichmodif

                        Voila ! en résumé, j ai effectué une recherche (onglet recherche dans administration phmyadmin) et j ai trouvé le fameux %height:0% dans une table acymailing ... d apres l article du site susnommé, il y a donc intrusion sur le site et pas par des amateurs, mais plutôt des pros qui en tirent des benefs financiers...

                        Voila, il faut donc vider cette table, sauvegarder (sql et site) tout supprimer et tout renvoyer, changer les mots de passes et faire qq manip de sécurité (je vous invite à le lire).

                        Pour autant je ne considère pas encore ce post réglé ... j attends de voir ... contrairement à moi , ce ne sont pas des amateurs

                        Commentaire


                        • #13
                          Re : Connexions massives (pirates) vers une page supprimée

                          Merci, j'irai lire cet article.
                          Christophe (cavo789)
                          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                          Mes logiciels OpenSource : https://www.avonture.be

                          Cette anné, le JoomlaDay 2020 FR aura lieu à Bruxelles les 2 et 3 octobre 2020. Plus d'infos sur https://www.joomladay.fr

                          Commentaire

                          Annonce

                          Réduire
                          1 sur 2 < >

                          C'est [Réglé] et on n'en parle plus ?

                          A quoi ça sert ?
                          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                          Comment ajouter la mention [Réglé] à votre discussion ?
                          1 - Aller sur votre discussion et éditer votre premier message :


                          2 - Cliquer sur la liste déroulante Préfixe.

                          3 - Choisir le préfixe [Réglé].


                          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                          2 sur 2 < >

                          Assistance au forum - Outil de publication d'infos de votre site

                          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                          UTILISER À VOS PROPRES RISQUES :
                          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                          Problèmes connus :
                          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                          Installation :

                          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                          Archive zip : https://github.com/AFUJ/FPA/zipball/master

                          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                          et remplacer www. votresite .com par votre nom de domaine


                          Exemples:
                          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/
                          Pour executer le script: http://www..com/fpa-fr.php

                          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/cms/
                          Pour executer le script: http://www..com/cms/fpa-fr.php

                          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                          Voir plus
                          Voir moins

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X