[Risolto] Sito sotto attacco

[steganoga]

marco, quello che volevo dire è che comunque generi una riga di log e il suo problema è questo.
quello che vogliono fare da quanto mi sembra di capire, non è nulla di pericoloso: chiamano te che chiami un altro e facendolo con tanti sperano (forse) il ddos).

Tu puoi fare qualsiasi cosa ma lui è ignorante e continua a ripetere quella richiesta.. o riesci a non loggare quella richiesta o cmq il blocco o l'errore causa una riga di log e il file si riempie... chissà poi come scrive... quando si ritrova a dover maneggiare un file con migliaia di record probabilmente gli costa un po troppo tempo.
non so, sono supposizioni ...

[mmleoni]

@tomtom
a sito attivo dovrebbe darti il 403 altrimenti c'è qualcosa che non va nella rewrite

@steganoga
scrivere il log files non costituisce un problema a questo livello di richieste (altrimenti il server sarebbe ko a dover caricare joomla, non solo rallentato)

ciao

[tomtomeight]

@marco

Scusa allora visto che il file non c'è più  sul server se tolgo il redirect riottengo un 404?

[mmleoni]

solo se il sef non ci mette lo zampino, se no magari trovi il 404 ma joomla gira e le risorse si sprecano!
(se poi hai seguito la famosa guida del piffero per la pagina 404 personalizzata non ti trovi neanche il 404 ma un 30x)

ho detto che la rule andava subito dopo rewriteengine on, vero?

ciao,
marco

[tomtomeight]

Si l'ho messo subito dopo il rewrite engine come mi hai detto e l'ho aggiunto anche allo stesso livello di risposta per la pagina di cortesia del sito disattivato. Non è che devo mettere l'url a partire da plugins/system ecc. e non dalla sola parte relativa al file?

[mmleoni]

no è giusto così (almeno mi pare prorpio).
se chiami l'url non ti dà la pagina bianca con la scritta forbidden? non è che hai modificato la gestione degli errori in apache?

[tomtomeight]

Sì a sito attivo ottengo un 403 e stamattina appena attivato il sito:

access log

Codice: [Seleziona]

89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
89.248.174.114 - - [11/Dec/2014:08:03:17 +0100] "GET /plugins/system/plugin_googlemap2_proxy.php?url=www.voskanapat.info HTTP/1.1" 301 649 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
e questi gli ultimi error log

Codice: [Seleziona]

[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFilterInput::clean() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/registry/format.php on line 45
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JModuleHelper::renderModule() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/document/html/renderer/module.php on line 84
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFactory::getConfig() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/l
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: mpatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/registry/registry.php on line 373
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFilterInput::clean() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/registry/format.php on line 45
[Thu Dec 11 08:02:43 2014] [warn] [client 66.249.67.48] mod_fcgid: stderr: PHP Strict Standards: Non-static method JFactory::getLanguage() should not be called statically, assuming $this from incompatible context in /var/www/vhosts/xxxxx.xx/httpdocs/web/libraries/joomla/application/module/helper.php on line 168
Il sito l'ho riattivato alle 8:

Ok il server sembra normale e crescono solo lentamente i log, lo lascio attivo, adesso devo uscire vediamo oggi cosa succede, tanto se si blocca ricevo email di avviso.

[steganoga]

e questi gli ultimi error log

.. si ma questi errori non sembrano dovuti all' "attacco", sembrano errori di compatibilità... e sono warning non notice... e non è un attaccante a provocarli ma google

[mmleoni]

io lì vedo un 301, non un 403; vi è prima un redirect (sef) o hai tolto il blocco.
comunque appena vedranno che non funziona smetteranno (prima o poi)

per gli errori veri e propri concordo con steganoga.

[tomtomeight]

Sì hai ragione mi sono confuso, ed anche gli errori sì sono per la incompatibilità, appena finisco il rifacimento di un altro sito del cliente attacco col rifare questo ed anche un altro suo, sempre da 1.5 a 3.3.

Grazie del supporto: se continua a girare senza problemi domani posso mettere il risolto.

[tomtomeight]

Rettifico, vedevo un 403 e non un 301, in pratica il log restituisce un 301 come da codice nel .htaccess ma come risultato pagina viene reso un forbiden 403. Il che provoca solo un contenuto e gestibilissimo aumento del solo log access, in pratica da stamattina alle 8 ad ora 18.30 sui 300 mega di log, fin quando non si stancano. Credo che possa considerare Risolto.