Re : Connexions massives (pirates) vers une page supprimée

Bonsoir

qui est l'hebergeur ?
as tu mis en place une protection genre aesecure ou crawlprotect ? histoire de bloquer certaine IP et voir si ça se calme un peu ...

Re : Connexions massives (pirates) vers une page supprimée

Merci de ta réponse rapide.

Mon hebergeur est 1and1.

pour ce qui est de la protection, elle était mise en place sur l 'ancienne version du site (crawlprotect), le même ou il y avait l article en question sur lequel pointe toute les connexions ... et qui buggé déja.

J ai mis pas mal de order deny dans mon .htaccess mais bon je ne m y connait pas trop en securité, mais à part d envoyer une erreur chez l internaute je pense que ça ne régle en rien mon problème de saturation ...

Je vais tenter de re installé crawlprotect. Je crois qu il intervient avant l entrée de l internaute dans le site , cela peut régler mon problème de saturation ou ça risque de produire le meme effet que dans mon .htaccess ?

En attendant je vais le re-balancer et je vous tiens au courant !

Re : Connexions massives (pirates) vers une page supprimée

hum... ça se discute... mais pas ici

quel est la suite des logs : une erreur 404 est générée en réponse? parce que si c'est la cas, tu n'as pas de soucis à avoir...

tu n'as pas grand chose à faire si ce n'est qu'à attendre qu'ils se fatiguent...

Re : Connexions massives (pirates) vers une page supprimée

Bonjour,

j ai installé crawlprotect sur le site , meme rangaine ....

Par contre je me suis apercu que joomla ne renvoie pas d erreur 404 pour ma vieille page qui n existe plus ... mais me redirige automatiquement sur ma page d accueil !!!

Du coup mon probleme est que tout ces connexions me créent une erreur que j ai deja vu ici .... a savoir :
"Error displaying the error page: Application Instantiation Error"

lorsque je vais sur ma bdd quand ce probleme apparait sur le site, ma base de donnée me renvoie "1203 trop d utilisateurs connectés ..."

Donc je ne sais pas si je fais fausse route ... mais ce qui me vient la c est :

- quel est le moyen dans joomla 3 pour afficher une erreur 404 et surtout pas rediriger vers la page d accueil ! (du coup si erreur 404 plus de requète et moins d utilisateurs pour ma base de données non ?)

- y a t il un moyen dans crawlprotect pour pouvoir interdire l accés a certaine url exemple
175.44.9.183 - - [02/Mar/2014:02:17:07 +0100] "GET /index.php/news/item/98-l-enseignement/98-l-enseignement?start=175240 ...
112.111.175.142 - - [02/Mar/2014:02:17:18 +0100] "GET /index.php/news/item/98-l-enseignement/98-l-enseignement?start=311520 ...

... le probleme etant ce star= .... non ? donc interdire /index.php/news/item/98-l-enseignement/98-l-enseignement?

Re : Connexions massives (pirates) vers une page supprimée

là j'ai beaucoup de mal a te suivre ... elle existe ou pas cette page ???
S'il y a une redirection vers la page d'accueil ... elle est bien quelque part !
tu as un lien ... meme en MP ?

Re : Connexions massives (pirates) vers une page supprimée

Bon pour la redirection c''est réglé ... c'était uniquement le plugin système - redirection qui était installé je l ai donc désactivé.

Manu si tu veux que je te passe mon ftp et liens si tu veux jeter un coup d oeil à mon fichier log voir si il y a un soucis ...après ptetre qu il faut que j appel mon hébergeur (1and1) en demandant plus d explications ... ce matin le serveur était en erreur 500, puis c'est reparti.

Mon plus gros soucis c'est que de temps en temps le site renvoie ce fameux texte que j ai déjà vu sur des forums en essayant de suivre les explications mais sans succés

Error displaying the error page: Application Instantiation Error

(sauf que moi il n apparaît que de temps en temps, et je crois que c'est en même temps que sur mon phpmyadminil y a marqué le message d erreur 1203 : trop d utilisateurs conectés etc ...)

a plus

Re : Connexions massives (pirates) vers une page supprimée

Bonjour,
Il s'agit d'une erreur classique lorsque le pool MySQL a atteint la limite en connexions concurrentes allouées à une base de données ou un utilisateur.

Dans ce cas précis, il est fort probable que certaines requêtes en rafales atteignent bien Joomla! et donc provoquent des connexions (sessions, redirection, etc...), la limite en connexions concurrentes étant rapidement atteinte s'il y a 50 requêtes de ce genre qui arrivent simultanément.

Re : Connexions massives (pirates) vers une page supprimée

Bonjour, je n ai rien résolu mais j avance ...

Joomla prend bien en compte les erreurs 404 ... sauf lorsque il y a l "index.php" dans la barre d adresse .. et cela sur tous mes joomla ..essayez chez vous !!!

Pour être plus clair :

lesite.fr/blalala = erreur 404
lesite.fr/index.php/blalala = redirection vers lesite.fr/index.php

il existe bien le composant redirection de vieille url ... mais inutilisable dans mon cas !!!! car quasiment toutes différentes car du style :

lesite.fr/index.php/blablabla?start=7909
lesite.fr/index.php/blablabla?start=320
lesite.fr/index.php/blablabla?start=220896
etc...

Questions :

peux t on empécher l appel a index.php sur joomla comme ceci ?
lesite.fr = on continue
lesite.fr/index.php = 404 ou arret requete ?

ou sinon

Connaissez vous un moyen de rediriger les mauvaises adresses qui commencent par index.php ??? je m y connais un peu en php sans etre un crack!!! il me semble que cela est géré au tout début de "index.php"

ne puis je pas faire un truc du style structure conditionnelle genre :

if ( url contient les mots "blablabla") alors redirige vers la page erreur 404 ???? au debut de index.php

Questions subsidiaire ...

Est ce normal dans mon fichier log d voir ce genre de chose :
2002:add0:a502::add0etc ... puis adresse derrière
au lieu de
199.203.30.32 etc.. puis adresse derrière

Re : Connexions massives (pirates) vers une page supprimée

Bonjour je reviens vers vous ... sans avoir attendu que ça se calme .. et oui je suis comme ça

1) j ai crée au tout début de mon index.php une condition en incluant un pregmatch pour exclure les start=... par exemple de la variable SERVER['QUERY_STRING']
(sans faire de pub, merci a ce site très connu dont je tairai le nom ... qui m avait permis d apprendre non sans mal un peu de php qui m a bien servi pour le coup !!!)

2) recherche sur php my admin sur la base de donnée a effacer !!! (%height:0% était présent)
%display:none%
%height:0%
%visibility:hidden%

3) via l outil stats de 1and1, test des differentes url bizarres ... puis lorsque redirection vers page d'accueil, je suis aller rediriger à chaque fois via le composant redirection de joomla vers la page 404 que j ai crée à la racine

4) j ai repéré une url encore plus bizarre que les autres car lorsque j ai cliqué dessus a la fin ça faisait un truc du style base de donnée genre ...enseignement/i'('','','','10')' un truc comme ça un tantiné chelou ... lol

Donc je vais retourner régulièrement sur l outil stats et virer au fur et à mesure voir si il y a de nouveaux liens bizarre et je pense voir une diminution conséquente des requètes ... pour vous donner une petite idée , avant l installation du if dans l index :
15500 visites qui sont descendues progressivement vers 3000 ... ce nombre et un peu remonté (6000) mais j ai bon espoir la !

je vous tient au courant !!!

Re : Connexions massives (pirates) vers une page supprimée

Bonjour

Merci pour ton partage.


Peux-tu m'en dire plus sur ce que tu as fais ici ? Tu soupçonnais donc du code malveillant dans le contenu de la base de données et non dans un fichier .php présent sur ton site...

Quelles sont les requêtes que tu as lancées ? Est-ce dans les champs description de p.ex. com_content que tu as fais des recherches ? As-tu encore tes queries ? Je serais intéressé de les voir.

Merci.

Re : Connexions massives (pirates) vers une page supprimée

Bonjour,
tout d abord je tiens a préciser que je suis juste un newbie en programmation php / sql, j ai quelques notions en html et css aussi mais rien de trop mirobolant ...

J ai piqué quelques explications concernant la sécurité sur ce site :
http://ralph.davidovits.net/internet...html#fichmodif

Voila ! en résumé, j ai effectué une recherche (onglet recherche dans administration phmyadmin) et j ai trouvé le fameux %height:0% dans une table acymailing ... d apres l article du site susnommé, il y a donc intrusion sur le site et pas par des amateurs, mais plutôt des pros qui en tirent des benefs financiers...

Voila, il faut donc vider cette table, sauvegarder (sql et site) tout supprimer et tout renvoyer, changer les mots de passes et faire qq manip de sécurité (je vous invite à le lire).

Pour autant je ne considère pas encore ce post réglé ... j attends de voir ... contrairement à moi , ce ne sont pas des amateurs

Re : Connexions massives (pirates) vers une page supprimée

Merci, j'irai lire cet article.