Identificazione di errori 404 nel sito

[sgiobbio]

Uno dei siti che gestisco  www.convivium.club   presenta un alto numero di errori 404.

In   cPanel > Awstats > not found URLs (HTTP code 404) ho trovato un alto numero di errori a questi 2 strani indirizzi che non capisco:
 
/principals/
/.well-known/carddav

Ho postato uno screenshot a questo lik: https://www.convivium.club/reportage/awstats.png

Qualcuno mi sa spiegare che cosa siano questi 2 strani indirizzi, che errori indichino e cosa potrei fare per ridurli?

Grazie in anticipo

[sgiobbio]

Rilancio la mia richiesta di aiuto, molti di voi sono webmaster di lunga data, io sono solo un autodidatta e quando non so mi arrabatto googleando...
Questa volta sono fermo al palo e sto cercando un suggerimento esperto che mi aiuti a capire:

Che cosa significa:  /.well-known/carddav  come causa di un grande numero di error hits 404?

Ho aperto un ticket sul mio hosting e mi hanno risposto che per questi problemi devo rivolgermi ad un professionista qualificato...
Se cerco su google /.well-known/carddav  trovo un sacco di riferimenti a nextcloud che non mi pare c'entri nulla con Joomla...
Se cerco in google joomla carddav  non trovo praticamente nulla di pertinente...

Qualcuno di voi può darmi uno spunto per aiutarmi a risolvere il mistero?

[marine]

per questi problemi devo rivolgermi ad un professionista qualificato...

e perchè non segui questo ottimo consiglio?

[sgiobbio]

e perchè non segui questo ottimo consiglio?

perché penso di poterlo trovare qui sul forum qualche ottimo consiglio.
Non è forse questo il posto in cui si richiede un aiuto quando ci si trova di fronte a qualche problema?
Il sito web che crea il problema è fatto con joomla, quindi pensavo di essere nel posto giusto...

[marine]

Giusto, comunque, tornando al punto del discorso, quanlche tempo fa ero stato contattato dal gestore di un sito per una situazione del genere, all'inizio aveva ignorato il problema ma poi il sito aveva cominciato ad avere moltissimi problemi lato SEO perchè per google i 404 non sono proprio il massimo...
Risolto il problema il sito ha ricominciato a guadagnare le posizioni che si meritava in serp.

[sgiobbio]

Caro Marine, probabilmente sarà necessario, come dici tu, l'intervento di un professionista.

Io non lo sono, ma come autodidatta ho sempre cercato di arrivare alle soluzioni in prima persona, magari grazie allo spunto suggeritomi da gente più esperta di me, e anche nelle situazioni apparentemente più complicate.
In questo modo ho imparato e migliorato.

Io qui non chiedo la pappa fatta, né soluzioni chiavi in mano, domando soltanto qualche spunto che mi illumini su cosa andare a cercare e su cosa lavorare.
La mia presenza in questo forum non si è mai limitata a chiedere, ma tante volte mi sono adoperato per spiegare esaurientemente la soluzione dei problemi che avevo riscontrato.

Torno al punto del discorso.
Esaminando ad una ad una tutte le voci di errore 404 in dettaglio, ne ho trovate più di una che indicavano chiaramente dove apportare la correzione e l'ho fatto.

Invece per questa voce /.well-known/carddav  non so dove andare a parare.

E sembrerebbe che la maggior parte degli errori provengano da lì.

Per questo chiedo qui nel Forum se qualcuno abbia voglia di fornirmi uno spunto di lavoro

.carddav  sembrerebbe qualcosa legato alle email... Tempo addietro avevo pensato di "occultare" agli spambot gli indirizzi email utilizzando questo codice inserito dentro a un file  " redirect-mailto.php ":

Codice: [Seleziona]

<?php
header("Location: mailto:redazione@convivium.club");
?>
Potrebbe magari c'entrare qualcosa con il problema esposto?
Intanto, nel dubbio, ho rimosso dappertutto questo meccanismo attinente alle email.

Se poi invece questo non è il posto giusto per fare questo genere di richiesta, me lo si dica e rispetterò, come ho sempre fatto, le linee guida.

[tomtomeight]

.wellknow viene aggiunto quando si installa un certificato lets encrypt, non so se ci sta relazione fra i 404 ma è uno spunto on cui cercare. A me non ha mai provocato una marea di 404 o non me ne sono mai accorto.

[marine]

Se poi invece questo non è il posto giusto per fare questo genere di richiesta, me lo si dica e rispetterò, come ho sempre fatto, le linee guida.

Il posto è giusto e anche la modalità solo che avere un numero elevato di 404 ti uccide la SEO del sito e poi è molto difficile e lungo recuperare.
Insomma è una cosa da sistemare alla svelta se ci tieni veramente al tuo sito.

[emaberg]

CARDDAV è (semplificando un po') il nome del protocollo di sincronizzazione di rubrica/contatti.quindi, o hai attivato in qualche modo un servizio del genere sul tuo dominio, oppure qualcuno pensa che ci sia un servizio del genere sul tuo dominio e cerca di accedervi (ma non lo trova).Se non hai aggiunto componenti che condividono una rubrica, non penso che dipendi direttamente da Joomla!. Puoi verificare da dove ti arrivano le chiamate?

[sgiobbio]

emaberg, in effetti sul sito c'è un modulo contatti, che è "protetto" da captcha.
Poiché non viene utilizzato praticamente mai, ed è anche posizionato nei meandri del sito, non facilmente raggiungibile, potrei benissimo eliminarlo.
Ad opinione di chi legge, potrebbe essere questa una soluzione agli errori 404 per  /.well-known/carddav ?

[emaberg]

Non credo che sia il modulo contatti, anche se sarebbe bene comunque togliere qualsiasi cosa non si usi.
Più che altro, io cercherei di capire CHI fa le chiamate a quelle pagine.Se arrivano dal sito stesso, hai configurato tu quallcosa di inutile.Se arrivano dal'esterno, è qualcuno che pensa che tu offra dei servizi carddav, e non li trova. Capire chi sia, e perché pensa qesto (e perseveri nonostante gli errori), di sicuro aiuterebbe. Ma tutto questo è esterno a Joomla.

Se nel tuo pannello di controllo ci sono opzioni di condivisione contatti, potrebbe essere che hai attivato qualche funzione "a caso" senza configurare completamente/correttamente il servizio, e quindi sono chiamate errate.
Se nel tuo server offri anche un servizio email, magari qualcuno he ha la casella in imap, ha attivato anche l'opzione per la rubrica condivisa, e quindi questo dispositivo continua a cercare la rubrica online...

Queste sono le prime due idee che mi vengono in mente, ma già queste, senza altri dettagli e senza investigare un po', non posso dirti nulla di più. E cpmunque qui si sconfina più nell'impostazine del server che in quella di Joomla

[sgiobbio]

Ciao Emaberg, seguendo il tuo consiglio ho scaricato da cPanel ed esaminato "Raw Access Logs" (che ovviamente mostra gli accessi al sito soltanto degli ultimi 2 giorni) e ho appurato che la richiesta responsabile di TUTTI gli errori 404   /principals/   e   /.well-known/carddav   è sempre e soltanto lo stesso indirizzo IP.
Ho provveduto a bloccarlo in .htaccess  ed ora non mi resta che monitorare la situazione.
Se era quello il responsabile metterò Risolto nei prossimi giorni, anche se non mi è per nulla chiaro lo scopo di una simile martellante continua richiesta di una risorsa che non esiste sul sito da parte di un non meglio identificato indirizzo IP statico che sembrerebbe essere ubicato in Lombardia.

[gioso]

E se quell'indirizzo IP fosse di un server, magari di uno dei servizi attivi sul tuo sito?

[emaberg]

Secondo me, hai fatto bene. Se serviva a qualcosa, qualcuno si lamenterà. Se nessuno si lamenta, hai risolto il tuo problema (anche se con un "trucco").Poi magari, se investighi cos'altro arriva da quel sito, puoi capire meglio cos'è.
Rimane valido il consiglio di togliere dal tuo sito qualsiasi pagina/modulo/funzione non sia più in uso, meno cose in eccesso ci sono, meglio è.

[sgiobbio]

Rispondo sia a gioso sia a emaberg:
Non ci sono "servizi attivi" sul sito, è un sito di consultazione.

Ho sempre  fatto attenzione a non caricare joomla di nessun componente aggiuntivo che non fosse assolutamente e strettamente necessario (in pratica ci sono soltanto sitemap, gdpr e social sharing), e ho sempre "fatto le pulizie" in maniera rigorosa, in questa ultima occasione anche del modulo contatto...

A chiunque appartenga quell'indirizzo IP, è quantomeno sospetto che solo in questo mese di luglio abbia provocato 100mila errori 404. perlomeno ora non li provocherà più, e da domani, se ne riscontrerò altri, andrò di nuovo ad esaminare il   "Raw Access Logs"...  mi sembra l'unica strada percorribile...

Non ho la minima idea di come investigare su cos'altro arrivi da quell'indirizzo, io conosco soltanto l'IP Checker che mi dà un'idea della località geografica...

Non so se si possa pubblicare qui un indirizzo IP...
Se sì, magari qualcuno più esperto di me potrebbe darmi qualche parere aggiuntivo...Fatemi sapere...

[sgiobbio]

Buongiorno a tutti,
aggiorno il thread con la strategia che ho messo in atto.

Siccome nemmeno a me piaceva l'idea di bloccare degli indirizzi IP senza sapere esattamente chi o cosa stavo bloccando, ho pensato di fare così:

Ho creato entrambe le due cartelle che non esistevano:

/principals/
/.well-known/carddav

e ne ho vietato l'accesso inserendovi un file .htaccess contenente deny from all

Poi ho dato di nuovo libero accesso all'indirizzo IP che avevo bloccato.
Il risultato esaminando RAW ACCESS da cPanel è che ora ci sono una valanga di accessi a quelle 2 cartelle da parte di quell'indirizzo IP - sempre lo stesso - ma con un errore 403 (Forbidden) anziché 404

Quindi adesso le due cartelle che non esistevano vengono trovate ma non vi si può accedere.
Ho fatto bene?
PS: "la valanga di accessi" mostra che ce ne sono a decine anche nell'arco di un solo secondo, il che mi fa pensare che non siano umani ma di bot

[marine]

Mi pare di capire che la tua strategia nel risolvere il problema è di fare cose a caso o stai seguendo una strategia delineata?

[sgiobbio]

Caro marine, il mio piano strategico era quello di risolvere il problema  :-))

Non è che sia andato poi tanto a caso: sono partito subito col bloccare gli accessi ad una risorsa che non esiste.
Poi mi sono detto: perché bloccare tout-court un indirizzo IP con il rischio che magari si ripresentasse un altro IP a fare la stessa cosa?

E così la risorsa inesistente l'ho creata e messa lì dove veniva cercata, poi impedendone l'accesso ho trasformato l'errore 404 iniziale in un 403...

Ho sbagliato?
Sono proprio qui a chiederlo a chi ne sa sicuramente molto più di me.

[marine]

Ho sbagliato?

Se per te questa è la soluzione migliore, buon per te. Felice tu, felici tutti.

[sgiobbio]

caro marine,
a me sembra che liquidare qualcuno con quel "contento te, contenti tutti" non sia esattamente nello spirito "collaborativo" che anima questo forum.
Se ritieni che la mia "strategia" sia un flop, potresti magari motivarlo.

Forse la scelta di cercare di fare da sè potrà essere criticabile, ma le scelte personali di ciascuno non dovrebbero precludergli l'accesso al medesimo trattamento che si riserva agli altri.

Nel frattempo ho fatto altre ricerche in google, e mi sembra di avere capito che una ripetizione elevata di 403 non dovrebbe essere molesta per google e i suoi indici: alla fine si tratta di una risorsa del sito protetta, che qualcuno sta tentando di forzare.

Ho anche capito che però, per la sicurezza del sito, il 403 è come una "ammissione" che quella risorsa esiste, e questo potrebbe essere un pericolo.
Per questo motivo nel file .htaccess che protegge la risorsa da ogni accesso, ho aggiunto una stringa che mostra all'eventuale visitatore Error 404 (Not Found) invece di Error 403 (Forbidden), fermo restando che l'errore registrato rimane sempre il 403

Io più di questo non sono capace a fare.
Resto aperto a qualsiasi altro suggerimento.

[marine]

ho aggiunto una stringa che mostra all'eventuale visitatore Error 404 (Not Found) invece di Error 403 (Forbidden), fermo restando che l'errore registrato rimane sempre il 403

Ok, quindi lo spider di google percepisce il 404...

[sgiobbio]

no marine, lo spider di google continua a percepire 403.
404 è quello che viene mostrato al visitatore che eventualmente cerchi quell'URL.
Per tua comodità, posto anche il codice presente in .htaccess:

Codice: [Seleziona]

deny from all
ErrorDocument 403 '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">\n<html><head>\n<title>404 Not Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p>The requested URL was not found on this server.</p>\n</body></html>


[marine]

Ho anche capito che però, per la sicurezza del sito, il 403 è come una "ammissione" che quella risorsa esiste, e questo potrebbe essere un pericolo.

Per tua comodità, posto anche il codice presente in .htaccess:

Codice: deny from all
ErrorDocument 403 '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">\n<html><head>\n<title>404 Not Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p>The requested URL was no

Quindi questo tuo codice gabberebbe eventuali malintenzionati perchè a schermo vedrebbero un finto 404 mentre gli spider registrano un 403?

[sgiobbio]

Esattamente, marine.
Ovviamente il malintenzionato se vuole guarda "sorgente pagina" e vede che è un 403... dopodiché non so proprio cosa altro possa fare perché comunque si arena su un accesso negato.

Detto questo, non vedo chi potrebbero essere questi "malintenzionati" che, più o meno 2-3mila volte al giorno, cercano 2 indirizzi che non esistono, e che forse sono correlati con una "sincronizzazione contatti" effettuata da devices IOS.

Mesi fa fornimmo un indirizzo email ad un collaboratore in prova, che avrebbe dovuto utilizzare webmail.
Costui si defilò poco dopo e la sua email la cancellammo da cPanel.
Potrebbe magari essere il suo iPhone ad effettuare sistematicamente tentativi di sincronizzazione dei contatti, ma il problema è che gli indirizzi IP cambiano di continuo.

Quelli che tentano di collegarsi al sito lo fanno con indirizzi IP che cambiano più o meno ogni 2 giorni.

Quindi se avessi bloccato gli indirizzi IP avrei sempre rincorso: io bloccavo e l'indirizzo cambiava.
2mila tentativi al giorno con un indirizzo IP, poi il giorno dopo 0 tentativi con quell'indirizzo IP e altri 2mila con un altro indirizzo IP.
E avanti così... a 2mila al giorno.

Per questo ho postato più volte lo storico del problema, con i  tentativi che ho fatto per risolverlo e gli ultimi provvedimenti che adottato.
Fino ad adesso soltanto emaberg - che ringrazio di cuore - ha cercato di darmi qualche consiglio per quanto di sua conoscenza.

Siccome qui nel forum ci sono molti webmaster ed esperti, ho pensato che fosse il posto giusto per porre delle domande.
Non mi aspetto che nessuno "si sbatta" per me, ci mancherebbe, ma magari c'è qualcuno che ha un'idea migliore di me per venirne a capo.

[sgiobbio]

ad ogni modo, facendo tesoro dell'ironia di marine, il codice "gabbante" l'ho tolto. Ma non è quello il problema

[sgiobbio]

Credo che possa essere d'interesse alla discussione il ticket che ho aperto presso il mio Hosting, che domandava se potesse esserci una relazione fra il servizio webmail Horde che è stato chiuso a fine 2022 migrandolo a Roundcube e l'issue di questo topic.
Lo hanno escluso con questa replica:

The abnormal amount of 404 errors you are seeing, specifically involving the directories "/principals/" and "/.well-known/carddav", seems to be unrelated to the migration itself. These directories are not part of the standard setup for Roundcube or Horde webmail.
Given that you observed an increase in 404 errors starting in January 2023, which aligns with the creation of an email account for a co-worker who used an iOS device, there might indeed be a connection to the email synchronization on the iOS device. However, it's important to clarify that the creation of an email account should not directly trigger the appearance of these directories.
The directories "/principals/" and "/.well-known/carddav" are typically related to CalDAV and CardDAV protocols, which are used for calendar and contact synchronization. The appearance of these directories might be due to some configuration or synchronization settings on the iOS device.

Ma ancora più interessante è la risposta al mio secondo quesito, se potesse essere corretto l'avere creato intenzionalmente le 2 directories per ritornare un errore 403 invece di un 404:

Checking the configuration of iOS devices belonging to people outside your organization might indeed be challenging, as you don't have direct access to their devices or settings. In such cases, it becomes more complex to pinpoint the exact cause of the issue.
Since you have a report with IP addresses trying to access the two folders that did not exist initially, it's good that you have created these folders intentionally to return a "403 Forbidden" error instead of the previous "404 Not Found" error. This approach can be helpful in mitigating the impact of these requests. By returning a "403 Forbidden" status, you are effectively denying access to those specific directories, which can prevent further attempts to access them.
However, it's important to keep in mind that this is a reactive measure and may not address the root cause of the issue. The changing IP addresses every two days do raise suspicion, and it's possible that these requests are coming from multiple sources, including automated bots or malicious actors.
To further investigate and potentially resolve the situation, I recommend considering usage of Firewall Rules. Implementing firewall rules to block or restrict access from suspicious IP addresses or ranges. This can help in limiting unauthorized access attempts. Also I would suggest to keep all the software updated. Ensure that all your software, including CMS (like WordPress), plugins, and themes, are up-to-date to minimize vulnerabilities. Moreover implement strong password policies and consider two-factor authentication for user accounts.

[sgiobbio]

Infine, siccome anche il "correre dietro" ad indirizzi IP sempre nuovi e differenti bloccandoli con firewall rules non sarebbe una soluzione praticabile, c'è la soluzione dell'"Under Attack Mode" di Cloudflare:

I understand your concern regarding the changing IP addresses every two days, making it challenging to use Firewall Rules effectively. In such cases, relying solely on IP-based blocking may not be the most efficient approach.
Since the IP addresses change frequently, it's likely that the requests are coming from a distributed network of devices, possibly employing a botnet or similar techniques to obfuscate their origin. In these scenarios, implementing traditional IP-based blocking measures may not be sufficient to address the issue.
Considering the ongoing security concerns and the dynamic nature of the IP addresses attempting to access your Joomla website, I recommend activating the "Under Attack Mode" feature on Cloudflare to strengthen your website's defenses.
Cloudflare's "Under Attack Mode" is designed to protect your website from various types of online threats, including DDoS (Distributed Denial of Service) attacks, which often involve massive amounts of traffic coming from multiple IP addresses with the intention of overwhelming your server and causing downtime.
When you enable "Under Attack Mode," Cloudflare deploys additional security measures to identify and block malicious traffic, while still allowing legitimate visitors to access your site. Here are some of the key benefits of using this feature:

DDoS Protection: "Under Attack Mode" helps mitigate the impact of DDoS attacks by analyzing incoming traffic patterns and filtering out malicious requests. This ensures that your website remains accessible even during potential attack spikes.
IP Reputation Filtering: Cloudflare maintains a reputation database of known malicious IP addresses. "Under Attack Mode" leverages this information to block requests coming from IPs with a history of suspicious or malicious activities.
Bot Protection: The feature can help in identifying and blocking automated bots that might be responsible for the unusual requests and accesses you've been experiencing.
Challenge Page: In some cases, Cloudflare may present a challenge page to users if their behavior appears to be suspicious. This page helps distinguish between human visitors and potential automated bots.
Reduced Server Load: By offloading traffic filtering to Cloudflare's global network, your server's load is reduced, which can lead to improved performance and stability.

[sgiobbio]

Ho atteso un mese per vedere gli effetti dei miei sforzi rivolti a risolvere il problema, e oggi credo di poter postare un aggiornamento "di sostanza".

Gli script executions totali mensili si sono ridotti a meno di 1/3, scendendo da 600mila (che eguagliavano la soglia limite concessa dal mio hosting) a 190mila.
Gli errori 404 mensili sono passati da una media di 190 mila a 15 mila.

Tutto questo bloccando in Cloudflare le richieste PROPFIND.

Prima di operare questo blocco mi sono documentato con grande attenzione, appurando che non ospito nessun servizio che si appoggi a queste richieste, che sostanzialmente prevedono una sincronizzazione dei calendari (!!!)

Penso che il risultato ottenuto sia ottimo, ma preferisco non mettere RISOLTO in attesa di eventuali ulteriori sviluppi, o del parere di qualcuno di voi molto più esperto di me.