Autore Topic: [Risolto] Sito sotto attacco (Letto 10721 volte)

tomtomeight · « **il:** 07 Dic 2014, 10:13:58 »

Buongiorno
E' da qualche giorno che ricevo attacchi ad un mio sito al punto di mandare in over-risorse il server bloccandolo.
Dai log rilevo sempre la stessa riga con l'ip che cambia ogni centinaio di volte

Codice: [Seleziona]

"HEAD /plugins/system/plugin_googlemap2_proxy.php?url=www.virtualogame.com HTTP/1.1" 301 259 "-" "Mozilla/5.0"
81.17.20.38 - - [03/Dec/2014:07:41:09 +0100] "HEAD /plugins/system/plugin_googlemap2_proxy.php?url=www.twitch.tv HTTP/1.1" 301 252 "-" "Mozilla/5.0"

Non so se sono davvero file del plugin googlemap che intanto ho disattivato dal sito e rinominato i file.

Chi mi sa dire altro? Grazie.

maxzilla · « **Risposta #1 il:** 07 Dic 2014, 10:17:35 »

Ciao tomtom
credo sia solamente quel maledetto plugin googlemaps2, io l'ho aggiornato ed e' tornato tutto regolare

tomtomeight · « **Risposta #2 il:** 07 Dic 2014, 10:22:27 »

OK grazie per il momento lo lascio disattivato, tanto devo rifare il sito nella nuova versione, adesso infatti è ancora una 1.5.

maxzilla · « **Risposta #3 il:** 07 Dic 2014, 10:39:51 »

Ne approfitto per dare qualche info in piu' a chi leggera' questo post:

si tratta delle versioni pre 3.1 e 2.20 del plugin Google Maps (Reumer)

Qui trovate la documentazione
http://tech.reumer.net/Google-Maps/Documentation-of-plugin-Googlemap/security-release-3-1-of-plugin-googlemaps.html

Consiglio di aggiornare il plug-in al piu' presto

mmleoni · « **Risposta #4 il:** 07 Dic 2014, 14:20:54 »

i problemi di sicurezza del plugin sono noti, ma, se è abilitato il sef, cambiare nome al file non serve ad evitare il dos, dato che joomla viene comunque chiamato in causa per processare la richiesta.

in tale caso è bene aggiungere le seguenti istruzioni in .htaccess:

Codice: [Seleziona]

RewriteCond %{REQUEST_URI} plugin_googlemap2_proxy.php
RewriteRule .* - [L,F]

subito dopo RewriteEngine On.

in questo modo si blocca la richiesta a livello di apache e si evita che php e mysql vengano messi in campo con notevole spreco di risorse.

ciao,
marco

tomtomeight · « **Risposta #5 il:** 08 Dic 2014, 18:57:28 »

Dunque ho aggiornato il plugin googlemap installando la nuova versione ed ho aggiunto le righe di mmleoni al .htaccess, sembrava risolto ma ho ancora dei picchi periodici di superamento delle risorse server con conseguente blocco, ed un consumo costante dello spazio server che si riduce in modo preoccupante. Ho messo fuori servizio il sito insieme a qualche altro mio sito sospetto ma non riesco a capire dove evvenga il consumo visto pure che gli spazi degli altri siti rimangono invariati come occupazione.

maxzilla · « **Risposta #6 il:** 09 Dic 2014, 15:22:54 »

Ciao tomtom, desidero aggiungere alcune info su questo argomento, ma non credo che potranno risolvere il tuo problema riscontrato anche con i siti off line.

Ho scoperto solo ieri dopo la tua segnalazione 2 cose che mi erano sfuggite:

1) a febbraio era stata rilasciata la versione 2.18 di google maps (reumer) per risolvere problemi di vulnerabilità riscontrati in quel periodo.
Sembra che da quella data pero' il problema non sia stato superato e quindi, con poca chiarezza (almeno per me che ero rimasto alla 2.18 per aver consultato un po' di corsa il sito VEL e aver confidato in una risoluzione definitiva da parte dello sviluppatore) sono uscite altre versioni.
L'ultima, la 3.2, dovra' o meglio "dovrebbe" risolvere una volta per tutte i problemi prima della 3.1 e della 2.20

2) l'aggiornamento alla 3.2 sembra una nuova installazione del plugin:
quando si completa l'operazione, sotto la voce "gestione plugin" si trovano in elenco sia "Google maps", riconoscibile dalla colonna "file" con "plugin_googlemap2" che "System Google Maps", la versione 3.2 ("plugin_googlemap3")
Di default, appena installato, il nuovo plugin, e' disattivato.

Per sicurezza dopo aver attivato System Google Maps si consiglia di disistallare il vecchio plugin che eliminera' completamente i files php dal server.
Le impostazioni e coordinate della mappa vengono mantenute nel database, e'comunque consigliabile fare un backup del sito e DB prima di procedere.

tomtomeight · « **Risposta #7 il:** 09 Dic 2014, 15:30:04 »

Ciao

Purtroppo avevo disinstallato il vecchio plugin ieri insieme alla installazione della nuova versione, ma le richieste al vecchio file non sono cessate e stamattina mi sono ritrovati quasi 400 mega di log, nonostante i codici di blocco e il plugin di marco. Ho dovuto chiudere il sito insieme ad un altro cui, e non capisco ancora il perché, si veniva rediretti quando il principale non era raggiungibile. Adesso dai due siti risponde solo la pagina di cortesia e gli attacchi sembrano essersi fermati.

maxzilla · « **Risposta #8 il:** 09 Dic 2014, 15:39:15 »

Mi dispiace.

Forse mmleoni sapra' darci qualche chiarimento

mmleoni · « **Risposta #9 il:** 09 Dic 2014, 22:07:21 »

nei log di apache trovi comunque gli accessi, con la risposta 403 per dire che è stata bloccata, ma è giusto che ci sia.
poi ci vorrà un poco di tempo perché la intendano... ma di solito è difficile che questo blocchi un server (salvo ddos per ripicca)
bisogna però vedere che non puntino ad altri file dato che quel plugin non mi pare una gran cosa, ma questo si può capire solo dai logs.

quadra poco il discorso del reindirizzamento... non è che il sito che appariva fosse il default di apache?

tomtomeight · « **Risposta #10 il:** 10 Dic 2014, 09:08:39 »

Grazie Marco

In effetti il secondo sito dovrebbe essere quello default di apache, appena ho tempo ne metto uno fake.

I log del sito non presentano errori 403 e stamattina appena ho attivato il secondo sito subito è ricominciato a crescere il log di accesso, il logo di errore rimane invariato, ho provato a mettere l'.htaccess anche a livello di sito.
Il server non si blocca ma rallenta notevolmente fino al punto di fermare e riavviare apache e poi ricontinua. L'occupazione di risorse della cpu passa da uno 0.15 - 0.35 di media normale a fino 89.0 e più.

steganoga · « **Risposta #11 il:** 10 Dic 2014, 14:05:12 »

imo mitigherei con una redirezione all'index invece che a 403 o 404

se sono così tante richieste vuol dire che stanno fuzzando e quindi anche l'errore è un info preziosa da sfruttare immediatamente con una nuova richiesta fino ad un successo

tomtomeight · « **Risposta #12 il:** 10 Dic 2014, 14:18:00 »

L'errore 404 viene solo adesso col sito chiuso, quando è online non registro nessun log di errore, però come dici redirezionando alla home cosa cambia, non avrei sempre le richieste che saturano il server?

steganoga · « **Risposta #13 il:** 10 Dic 2014, 15:44:37 »

si, in effetti ragionando non cambierebbe nulla, l'avevo usato per me ma ricevevo stringhe con payload.

Nel tuo caso vogliono solamente dossare quel sito di giochi o la macchina su cui sta sfruttando il proxi di googlemap.
Su quel sito non c'è nulla di malevolo, il server è un cloud e ha la protezione dos attiva.

Finchè il bot non si accorge che il tuo sito è inusabile non smetterebbe comunque.

Ma non puoi disabilitare i log di apache? cosa ti servono? poi appena passa il problema riabiliti

tomtomeight · « **Risposta #14 il:** 10 Dic 2014, 17:51:53 »

Certo proverò a disabilitare i log, buona idea, non dovrebbe rallentarmi più di tanto. Grazie.

Alex21 · « **Risposta #15 il:** 10 Dic 2014, 18:15:37 »

Citazione da: tomtomeight - 07 Dic 2014, 10:13:58

Buongiorno
E' da qualche giorno che ricevo attacchi ad un mio sito al punto di mandare in over-risorse il server bloccandolo.
Dai log rilevo sempre la stessa riga con l'ip che cambia ogni centinaio di volte

Non so se sono davvero file del plugin googlemap che intanto ho disattivato dal sito e rinominato i file.

Chi mi sa dire altro? Grazie.

Buongiorno, ho avuto anche io un problema che mi sembra simile qualche tempo fa. Improvvisamente le visite si sono impennate diventando decine di migliaia, parecchie anche in un secondo.
Per fortuna la massa di chiamate proveniva da un solo ip e ho risolto con un semplice .htaccess.
Il tuo caso è diverso, con l' IP che cambia. Non so se sia possibile bannare da un .htaccess un intero range di IP.
Comunque l'IP che hai segnato, 81.17.20.38 è uno svizzero, segnalato come hacker. A questo indirizzo c'è solo un server, nemmeno un sito. [/size]Se hai fortuna non è un grande operatore allora e c'è un provider credo che tu possa lamentarti con lui per il comportamento del suo cliente.[/color]
[/size]Ciao
[/size]Alessandro

tomtomeight · « **Risposta #16 il:** 10 Dic 2014, 18:27:03 »

Grazie ma l'ip non è mai lo stesso credo che provengono da siti che non c'entrano con l'attacco ma usati solo come zombie, così come cercano di utilizzare il mio sito.

mmleoni · « **Risposta #17 il:** 10 Dic 2014, 18:38:28 »

1.
notate che, di norma, gli errori di tipo 4xx (quelli causati dal client) vanno nell'access log e non nell'error log.
comunque è necessario un'analisi del log per verificare qual è la pagina chiamata in continuazione per adeguare di conseguenza l'.htaccess. disabilitare i log è sempre l'approccio sbagliato, semmai si usa un pipe e si filtrano...

2.
una redirezione non aiuta dato che il server php+mysql deve processare la richiesta, un 403, dato da apache impedisce un elevato uso delle risorse.

analisi dei log e blocco!

ciao

tomtomeight · « **Risposta #18 il:** 10 Dic 2014, 18:47:59 »

I log di accesso sono sempre quelli che ho messo a inizio, cambia solo l'url finale.

tomtomeight · « **Risposta #19 il:** 10 Dic 2014, 18:52:36 »

Ho provato a digitare, a sito disattivato, uno degli url e mi risponde ovviamente con un 404, credo che comunque il bombardamento contini ancora, ma allora adesso non mi segna nessun rallentamento server e nessun aumento spazio, quindi disattivando i log e riattivando il sito la situazione non dovrebbe cambiare. Domani provo.

steganoga · « **Risposta #20 il:** 10 Dic 2014, 19:56:52 »

marco, quello che volevo dire è che comunque generi una riga di log e il suo problema è questo.
quello che vogliono fare da quanto mi sembra di capire, non è nulla di pericoloso: chiamano te che chiami un altro e facendolo con tanti sperano (forse) il ddos).

Tu puoi fare qualsiasi cosa ma lui è ignorante e continua a ripetere quella richiesta.. o riesci a non loggare quella richiesta o cmq il blocco o l'errore causa una riga di log e il file si riempie... chissà poi come scrive... quando si ritrova a dover maneggiare un file con migliaia di record probabilmente gli costa un po troppo tempo.
non so, sono supposizioni ...

mmleoni · « **Risposta #21 il:** 10 Dic 2014, 20:10:18 »

@tomtom
a sito attivo dovrebbe darti il 403 altrimenti c'è qualcosa che non va nella rewrite

@steganoga
scrivere il log files non costituisce un problema a questo livello di richieste (altrimenti il server sarebbe ko a dover caricare joomla, non solo rallentato)

ciao

tomtomeight · « **Risposta #22 il:** 10 Dic 2014, 20:21:06 »

@marco

Scusa allora visto che il file non c'è più sul server se tolgo il redirect riottengo un 404?

mmleoni · « **Risposta #23 il:** 10 Dic 2014, 21:11:14 »

solo se il sef non ci mette lo zampino, se no magari trovi il 404 ma joomla gira e le risorse si sprecano!
(se poi hai seguito la famosa guida del piffero per la pagina 404 personalizzata non ti trovi neanche il 404 ma un 30x)

ho detto che la rule andava subito dopo rewriteengine on, vero?

ciao,
marco

tomtomeight · « **Risposta #24 il:** 10 Dic 2014, 21:27:49 »

Si l'ho messo subito dopo il rewrite engine come mi hai detto e l'ho aggiunto anche allo stesso livello di risposta per la pagina di cortesia del sito disattivato. Non è che devo mettere l'url a partire da plugins/system ecc. e non dalla sola parte relativa al file?

mmleoni · « **Risposta #25 il:** 10 Dic 2014, 22:07:30 »

no è giusto così (almeno mi pare prorpio).
se chiami l'url non ti dà la pagina bianca con la scritta forbidden? non è che hai modificato la gestione degli errori in apache?

tomtomeight · « **Risposta #26 il:** 11 Dic 2014, 08:15:58 »

Sì a sito attivo ottengo un 403 e stamattina appena attivato il sito:

access log

Codice: [Seleziona]

89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36" 
89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36" 
89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36" 
89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"

e questi gli ultimi error log

Codice: [Seleziona]

[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFilterInput::clean() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/registry/format.php on line 45 
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JModuleHelper::renderModule() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/document/html/renderer/module.php on line 84 
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFactory::getConfig() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/l 
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: mpatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/registry/registry.php on line 373 
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFilterInput::clean() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/registry/format.php on line 45 
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFactory::getLanguage() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/application/module/helper.php on line 168

Il sito l'ho riattivato alle 8:

Ok il server sembra normale e crescono solo lentamente i log, lo lascio attivo, adesso devo uscire vediamo oggi cosa succede, tanto se si blocca ricevo email di avviso.

steganoga · « **Risposta #27 il:** 11 Dic 2014, 08:31:39 »

Citazione

e questi gli ultimi error log

.. si ma questi errori non sembrano dovuti all' "attacco", sembrano errori di compatibilità... e sono warning non notice... e non è un attaccante a provocarli ma google

mmleoni · « **Risposta #28 il:** 11 Dic 2014, 09:51:06 »

io lì vedo un 301, non un 403; vi è prima un redirect (sef) o hai tolto il blocco.
comunque appena vedranno che non funziona smetteranno (prima o poi)

per gli errori veri e propri concordo con steganoga.

tomtomeight · « **Risposta #29 il:** 11 Dic 2014, 13:09:20 »

Sì hai ragione mi sono confuso, ed anche gli errori sì sono per la incompatibilità, appena finisco il rifacimento di un altro sito del cliente attacco col rifare questo ed anche un altro suo, sempre da 1.5 a 3.3.

Grazie del supporto: se continua a girare senza problemi domani posso mettere il risolto.

tomtomeight · « **Risposta #30 il:** 11 Dic 2014, 18:34:05 »

Rettifico, vedevo un 403 e non un 301, in pratica il log restituisce un 301 come da codice nel .htaccess ma come risultato pagina viene reso un forbiden 403. Il che provoca solo un contenuto e gestibilissimo aumento del solo log access, in pratica da stamattina alle 8 ad ora 18.30 sui 300 mega di log, fin quando non si stancano. Credo che possa considerare Risolto.