Autore Topic: [Risolto] Sito sotto attacco (Letto 10722 volte)

tomtomeight · « **il:** 07 Dic 2014, 10:13:58 »

Buongiorno
E' da qualche giorno che ricevo attacchi ad un mio sito al punto di mandare in over-risorse il server bloccandolo.
Dai log rilevo sempre la stessa riga con l'ip che cambia ogni centinaio di volte

Codice: [Seleziona]

"HEAD /plugins/system/plugin_googlemap2_proxy.php?url=www.virtualogame.com HTTP/1.1" 301 259 "-" "Mozilla/5.0"
81.17.20.38 - - [03/Dec/2014:07:41:09 +0100] "HEAD /plugins/system/plugin_googlemap2_proxy.php?url=www.twitch.tv HTTP/1.1" 301 252 "-" "Mozilla/5.0"

Non so se sono davvero file del plugin googlemap che intanto ho disattivato dal sito e rinominato i file.

Chi mi sa dire altro? Grazie.

maxzilla · « **Risposta #1 il:** 07 Dic 2014, 10:17:35 »

Ciao tomtom
credo sia solamente quel maledetto plugin googlemaps2, io l'ho aggiornato ed e' tornato tutto regolare

tomtomeight · « **Risposta #2 il:** 07 Dic 2014, 10:22:27 »

OK grazie per il momento lo lascio disattivato, tanto devo rifare il sito nella nuova versione, adesso infatti è ancora una 1.5.

maxzilla · « **Risposta #3 il:** 07 Dic 2014, 10:39:51 »

Ne approfitto per dare qualche info in piu' a chi leggera' questo post:

si tratta delle versioni pre 3.1 e 2.20 del plugin Google Maps (Reumer)

Qui trovate la documentazione
http://tech.reumer.net/Google-Maps/Documentation-of-plugin-Googlemap/security-release-3-1-of-plugin-googlemaps.html

Consiglio di aggiornare il plug-in al piu' presto

mmleoni · « **Risposta #4 il:** 07 Dic 2014, 14:20:54 »

i problemi di sicurezza del plugin sono noti, ma, se è abilitato il sef, cambiare nome al file non serve ad evitare il dos, dato che joomla viene comunque chiamato in causa per processare la richiesta.

in tale caso è bene aggiungere le seguenti istruzioni in .htaccess:

Codice: [Seleziona]

RewriteCond %{REQUEST_URI} plugin_googlemap2_proxy.php
RewriteRule .* - [L,F]

subito dopo RewriteEngine On.

in questo modo si blocca la richiesta a livello di apache e si evita che php e mysql vengano messi in campo con notevole spreco di risorse.

ciao,
marco

tomtomeight · « **Risposta #5 il:** 08 Dic 2014, 18:57:28 »

Dunque ho aggiornato il plugin googlemap installando la nuova versione ed ho aggiunto le righe di mmleoni al .htaccess, sembrava risolto ma ho ancora dei picchi periodici di superamento delle risorse server con conseguente blocco, ed un consumo costante dello spazio server che si riduce in modo preoccupante. Ho messo fuori servizio il sito insieme a qualche altro mio sito sospetto ma non riesco a capire dove evvenga il consumo visto pure che gli spazi degli altri siti rimangono invariati come occupazione.

maxzilla · « **Risposta #6 il:** 09 Dic 2014, 15:22:54 »

Ciao tomtom, desidero aggiungere alcune info su questo argomento, ma non credo che potranno risolvere il tuo problema riscontrato anche con i siti off line.

Ho scoperto solo ieri dopo la tua segnalazione 2 cose che mi erano sfuggite:

1) a febbraio era stata rilasciata la versione 2.18 di google maps (reumer) per risolvere problemi di vulnerabilità riscontrati in quel periodo.
Sembra che da quella data pero' il problema non sia stato superato e quindi, con poca chiarezza (almeno per me che ero rimasto alla 2.18 per aver consultato un po' di corsa il sito VEL e aver confidato in una risoluzione definitiva da parte dello sviluppatore) sono uscite altre versioni.
L'ultima, la 3.2, dovra' o meglio "dovrebbe" risolvere una volta per tutte i problemi prima della 3.1 e della 2.20

2) l'aggiornamento alla 3.2 sembra una nuova installazione del plugin:
quando si completa l'operazione, sotto la voce "gestione plugin" si trovano in elenco sia "Google maps", riconoscibile dalla colonna "file" con "plugin_googlemap2" che "System Google Maps", la versione 3.2 ("plugin_googlemap3")
Di default, appena installato, il nuovo plugin, e' disattivato.

Per sicurezza dopo aver attivato System Google Maps si consiglia di disistallare il vecchio plugin che eliminera' completamente i files php dal server.
Le impostazioni e coordinate della mappa vengono mantenute nel database, e'comunque consigliabile fare un backup del sito e DB prima di procedere.

tomtomeight · « **Risposta #7 il:** 09 Dic 2014, 15:30:04 »

Ciao

Purtroppo avevo disinstallato il vecchio plugin ieri insieme alla installazione della nuova versione, ma le richieste al vecchio file non sono cessate e stamattina mi sono ritrovati quasi 400 mega di log, nonostante i codici di blocco e il plugin di marco. Ho dovuto chiudere il sito insieme ad un altro cui, e non capisco ancora il perché, si veniva rediretti quando il principale non era raggiungibile. Adesso dai due siti risponde solo la pagina di cortesia e gli attacchi sembrano essersi fermati.

maxzilla · « **Risposta #8 il:** 09 Dic 2014, 15:39:15 »

Mi dispiace.

Forse mmleoni sapra' darci qualche chiarimento

mmleoni · « **Risposta #9 il:** 09 Dic 2014, 22:07:21 »

nei log di apache trovi comunque gli accessi, con la risposta 403 per dire che è stata bloccata, ma è giusto che ci sia.
poi ci vorrà un poco di tempo perché la intendano... ma di solito è difficile che questo blocchi un server (salvo ddos per ripicca)
bisogna però vedere che non puntino ad altri file dato che quel plugin non mi pare una gran cosa, ma questo si può capire solo dai logs.

quadra poco il discorso del reindirizzamento... non è che il sito che appariva fosse il default di apache?

tomtomeight · « **Risposta #10 il:** 10 Dic 2014, 09:08:39 »

Grazie Marco

In effetti il secondo sito dovrebbe essere quello default di apache, appena ho tempo ne metto uno fake.

I log del sito non presentano errori 403 e stamattina appena ho attivato il secondo sito subito è ricominciato a crescere il log di accesso, il logo di errore rimane invariato, ho provato a mettere l'.htaccess anche a livello di sito.
Il server non si blocca ma rallenta notevolmente fino al punto di fermare e riavviare apache e poi ricontinua. L'occupazione di risorse della cpu passa da uno 0.15 - 0.35 di media normale a fino 89.0 e più.

steganoga · « **Risposta #11 il:** 10 Dic 2014, 14:05:12 »

imo mitigherei con una redirezione all'index invece che a 403 o 404

se sono così tante richieste vuol dire che stanno fuzzando e quindi anche l'errore è un info preziosa da sfruttare immediatamente con una nuova richiesta fino ad un successo

tomtomeight · « **Risposta #12 il:** 10 Dic 2014, 14:18:00 »

L'errore 404 viene solo adesso col sito chiuso, quando è online non registro nessun log di errore, però come dici redirezionando alla home cosa cambia, non avrei sempre le richieste che saturano il server?

steganoga · « **Risposta #13 il:** 10 Dic 2014, 15:44:37 »

si, in effetti ragionando non cambierebbe nulla, l'avevo usato per me ma ricevevo stringhe con payload.

Nel tuo caso vogliono solamente dossare quel sito di giochi o la macchina su cui sta sfruttando il proxi di googlemap.
Su quel sito non c'è nulla di malevolo, il server è un cloud e ha la protezione dos attiva.

Finchè il bot non si accorge che il tuo sito è inusabile non smetterebbe comunque.

Ma non puoi disabilitare i log di apache? cosa ti servono? poi appena passa il problema riabiliti

tomtomeight · « **Risposta #14 il:** 10 Dic 2014, 17:51:53 »

Certo proverò a disabilitare i log, buona idea, non dovrebbe rallentarmi più di tanto. Grazie.

Alex21 · « **Risposta #15 il:** 10 Dic 2014, 18:15:37 »

Citazione da: tomtomeight - 07 Dic 2014, 10:13:58

Buongiorno
E' da qualche giorno che ricevo attacchi ad un mio sito al punto di mandare in over-risorse il server bloccandolo.
Dai log rilevo sempre la stessa riga con l'ip che cambia ogni centinaio di volte

Non so se sono davvero file del plugin googlemap che intanto ho disattivato dal sito e rinominato i file.

Chi mi sa dire altro? Grazie.

Buongiorno, ho avuto anche io un problema che mi sembra simile qualche tempo fa. Improvvisamente le visite si sono impennate diventando decine di migliaia, parecchie anche in un secondo.
Per fortuna la massa di chiamate proveniva da un solo ip e ho risolto con un semplice .htaccess.
Il tuo caso è diverso, con l' IP che cambia. Non so se sia possibile bannare da un .htaccess un intero range di IP.
Comunque l'IP che hai segnato, 81.17.20.38 è uno svizzero, segnalato come hacker. A questo indirizzo c'è solo un server, nemmeno un sito. [/size]Se hai fortuna non è un grande operatore allora e c'è un provider credo che tu possa lamentarti con lui per il comportamento del suo cliente.[/color]
[/size]Ciao
[/size]Alessandro

tomtomeight · « **Risposta #16 il:** 10 Dic 2014, 18:27:03 »

Grazie ma l'ip non è mai lo stesso credo che provengono da siti che non c'entrano con l'attacco ma usati solo come zombie, così come cercano di utilizzare il mio sito.

mmleoni · « **Risposta #17 il:** 10 Dic 2014, 18:38:28 »

1.
notate che, di norma, gli errori di tipo 4xx (quelli causati dal client) vanno nell'access log e non nell'error log.
comunque è necessario un'analisi del log per verificare qual è la pagina chiamata in continuazione per adeguare di conseguenza l'.htaccess. disabilitare i log è sempre l'approccio sbagliato, semmai si usa un pipe e si filtrano...

2.
una redirezione non aiuta dato che il server php+mysql deve processare la richiesta, un 403, dato da apache impedisce un elevato uso delle risorse.

analisi dei log e blocco!

ciao

tomtomeight · « **Risposta #18 il:** 10 Dic 2014, 18:47:59 »

I log di accesso sono sempre quelli che ho messo a inizio, cambia solo l'url finale.

tomtomeight · « **Risposta #19 il:** 10 Dic 2014, 18:52:36 »

Ho provato a digitare, a sito disattivato, uno degli url e mi risponde ovviamente con un 404, credo che comunque il bombardamento contini ancora, ma allora adesso non mi segna nessun rallentamento server e nessun aumento spazio, quindi disattivando i log e riattivando il sito la situazione non dovrebbe cambiare. Domani provo.