Autore Topic: [RISOLTO] Ping da spammer e joomla si autoriempie di monnezza  (Letto 3742 volte)

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Ho tralasciato per qualche tempo la cura dei siti e quando l'ho ripresa mi sono accorto di essere stato riempito di monnezza dalla azione di qualche spammer, anzi i vari joomla si sono autoriempiti di monnezza fino quasi a saturare il server fisico dove sono ospitati.
Mi spiego meglio:
-  arriva al sito una richiesta sbagliata e joomla 2.5 alloca nel file error.php una riga con un messaggio di questo tipo:
Codice: [Seleziona]
2014-05-04 04:31:12 INFO 146.0.74.208 Joomla FAILURE: Nome utente e password non corretti o non hai ancora ututto bene?  certo ma ripetete l'operazione ogni 1.75 minuti per diversi giorni su diversi siti  e poi fate i conteggi, sono giga e giga di monnezza che i diversi siti nel loro complesso  hanno allocato nel server fisico, per quanto possa essere ampio il disco a lungo andare andrà in overflow.
e ho notato che joomla 3 allora molto più messaggi e molto più lunghi  (nelle intezioni loro esplicativi)
-------
ovviamente ho ripulito tutto, e grazie ai diversi messaggi sui diversi siti 2.5 ho messo in sicurezza anche i siti ancora in 1.5 e di altro tipo,  non era questo il fine di questo messaggio.
piuttosto ho constatato che:
a-  hanno preso di mira  quei siti che per la loro caratteristica hanno necessità di apparire anche in quei paesi da dove proviene lo spamm   (ma dubito che l'ip abbia ancora un significato geografico) o comunque quei siti di interesse sovranazionale.
b- le risorse utilizzate sono state maggiori nei siti che contengono interessi economici o che potrebbero essere economici.
c- gli ip utilizzati sono segnalati come ex spammer che utilizzavano tecniche oramai in disuso e che da mesi non ricevono più segnalazioni per quelle tecniche, ciò significa che sono manovrati da professionisti  in continua evoluzione.
--------------
questo per me significa che sorgono necessità al momento senza risposta e accorgimenti da apportare a joomla:
a-  serve una macchina capace di stoppare questo genere di azione invasiva almeno a livello di sistema operativo o perlomeno di pannello di gestione dei siti (e mi pare che qualcosa in giro ci sia)
c-  diventa necessario utilizzare la tecnica dell'override della lingua (o modificare il file language)  per accorciare il messaggio di errore di default, perchè se ad esempio il messaggio " Nome utente e password non corretti o non hai ancora un account." contenesse la metà di caratteri oppure fosse un codice di tre  caratteri  l'azione di quei soggetti diventerebbe meno efficacie e perlomeno se avessero il fine di buttar giù l'intera macchina  dovrebbero faticare molto ma molto di più.
----
Inoltre resta la curiosità di capire come mai questi signori non vengano presi mai per una orecchia e gettati in una fetida cella...   lascio a voi le risposte personali, io mi tengo la mia.
« Ultima modifica: 05 Mag 2014, 23:00:47 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #1 il: 04 Mag 2014, 14:54:43 »
ed insiste..
Codice: [Seleziona]
2014-05-04 12:48:56 INFO 188.169.28.116 Joomla FAILURE: Nome utente e password non corretti o non hai ancora un account.solo
dalle    2014-05-04   12:45:20
alle      2014-05-04   12:47:40
joomla 2.5  ha inserito ben  22 volte quella stessa riga, ovviamente perchè lo spammer a sua volta ha provato a forzare il sito,  ma le intenzioni dello spammer quali sono?
vuole bloccare il sito  mandando in overflow  lo spazio disco?
oppure che altro? 
 
« Ultima modifica: 04 Mag 2014, 14:56:44 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 30329
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #2 il: 04 Mag 2014, 15:05:32 »
Quei messaggi sono uguali ai log del server, io imposto la rotazione in modo che non superino mai certe dimensioni, infatti per alcuni siti mi sono ritrovato in passato un log del server superiore a qualche giga. Non sò però se si può toglier quel file da joomla o impostare una rotazione anche per esso.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #3 il: 04 Mag 2014, 15:30:03 »
quindi non capita solo a me.
con gedit  e con un pc con 3 giga di ram  aprire un file error.php di quelli pesanti è difficoltoso, molto difficoltoso...  il doppio processore comincia a ballare la rumba e immagino che un povero cristo di utente si impaurisce  e pensa che gli stanno fondendo l'hd  con qualche intrusione, le prime volte l'ho pensato anche io.

sempre con gedit si riesce a gestire il file con ctrl h e sostituendo le stringhe di testo  con unblank, a quel punto si possono leggere gli ultimi indirizzi IP che lo spammer ha usato e quindi provvedere ...
in breve htaccess diventa kilometrico e di conseguenza sale la tentazione di bloccare l'intera regione
e anche questo potrebbe essere un fine per lo spammer,
tenere isolate determinate aree geografiche dal resto del pianeta o perlomeno costringere siti di un certo genere a compiere un gesto di karakiri  nei confronti di ampie fasce di popolazione.

ipotesi alquanto complottiste, ma come giustificare l'investimento dello spammer  in risorse di rete e pure energia elettrica ecc...?   lo spammer gratis non lavora, neanche se lo impicchi.

e comunque a queste condizioni agli hosting non conviene mica star li a combattere lo spammer,  finisce lo spazio disco? bene, pigliane uno più grande che hai un sito importante...
cli chiedi cosa fare con quel problema? ahhhrrrrggg colpa tua che hai dimenticato la sicurezza..

insomma è un fenomeno prima di tutto economico, ma potrebbe essere anche molto altro.
fatto sta che con i messaggi kmetrici che ho visto di joomla 3  questi spammer  coglieranno l'occasione e  ci andranno a nozze mentre gli hosting invece, pure.


« Ultima modifica: 04 Mag 2014, 15:42:00 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #4 il: 04 Mag 2014, 22:48:35 »
-  arriva al sito una richiesta sbagliata e joomla 2.5 alloca nel file error.php una riga con un messaggio di questo
scusate ma in quale posizione si trova questo file error.php di Joomla che aumenta mano a mano di dimensione?

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #5 il: 04 Mag 2014, 23:29:26 »
scusate ma in quale posizione si trova questo file error.php di Joomla che aumenta mano a mano di dimensione?

 ???
root
cartella logs


PS
precisazione,  si trova nella 2.5
nella 1.5  ci sta la cartella ma non il file,
nella 3.x non saprei perchè ancora non ne installo uno.
« Ultima modifica: 04 Mag 2014, 23:56:31 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

mau_develop

  • Visitatore
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #6 il: 05 Mag 2014, 08:29:22 »
..solo se abiliti i log.... roba inutile.

Cosa cercano? ... nulla,vengono da proxi e games servers fuzzando quà e la dove trovano impronte che il tool riconosce.
Solitamente non usano 0day ma solo vulnerabilità note per cui se tutto è aggiornato non c'è problema.
Fare attacchi di bruteforce al login di joomla è da deficienti o sperano nell'incontro di un loro simile che usa ancora "forzamilan" come pw.

Cosa possono causare? ... nulla se non occupare thread del server.
Cosa possono causare in Joomla? ... secondo me J oltre i log ha anche il redirect che ti fa arrivare facilmente a dossare il db

... ma a che serve abilitare i log o il redirect?

Offline miao

  • Appassionato
  • ***
  • Post: 546
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #7 il: 05 Mag 2014, 08:49:59 »
Io ho installato la 3.2.3  al 10/3


error.php pesa 157 kb ed ha 1452  records


non mi preoccuperei per lo spazio


quando arriverà a 10 mb lo cancello   cioè tra anni






Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #8 il: 05 Mag 2014, 09:30:32 »
e continuano...
dal  2014-05-05   01:58:30
al    2014-05-05   02:13:45
Codice: [Seleziona]
2014-05-05 02:13:45 INFO 190.187.12.77 Joomla FAILURE: Nome utente e password non corretti o non hai ancora un account.per   9,2 kB (9154 byte)   

ragazzi non sono d'accordo con voi a sottovalutarli.   
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #9 il: 05 Mag 2014, 09:38:21 »
..solo se abiliti i log.... roba inutile.
. secondo me J oltre i log ha anche il redirect che ti fa arrivare facilmente a dossare il db

... ma a che serve abilitare i log o il redirect?

in effetti il redirect è pieno di immondizia ma questi sono gli spider degli "statistici"  del tipo
Codice: [Seleziona]
index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
cioè di quei simpaticoni che fanno statistiche su come sono fatti i siti webbe e su che estensioni usano...
e chissà che non sono gli stessi soggetti a fare le due cose contemporaneamente?
dopotutto come dicono ora quelli del marketing,  se il cliente paga, perchè no?

PS
dove il "perchè no?"  per essi è unicamente un nerboruto gendarme che li accompagni a c. in c.  in una fetida cella, quindi abusano dei diritti garantiti dalla costituzione.
« Ultima modifica: 05 Mag 2014, 09:45:58 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #10 il: 05 Mag 2014, 10:09:48 »
ok, ora capisco meglio, ho trovato il file nella cartella log come indicato. Ma non ho trovato il parametro per abilitarli e disabilitarli.  Di default sono attivi?

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #11 il: 05 Mag 2014, 10:24:33 »
Si, mi pare che di default in Joomla 2.5 e Joomla 3 siano attivi, ed anche impostando il parametro della configurazione globale "Rapporto errori" su Nessuno continuano ugualmente ad essere compilati.

Qui ci vuole una FAQ nel wiki, vedo di prepararla  :)

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #12 il: 05 Mag 2014, 10:46:34 »
Ok, FAQ creata:
http://www.joomla.it/mediawiki/index.php?title=Joomla!_2.5:Domande_e_Risposte_FAQ#Perch.C3.A8_lo_spazio_occupato_sul_server_dal_sito_aumenta_anche_senza_caricare_nuovi_file.3F

controllate per cortesia se ho scritto correttamente.
Volevo aggiungere anche il componente "Motore di ricerca" che di default è disabilitato, ma poi ho visto che nelle opzioni ha impostato un limite di record che può inserire nel database, quindi questo non può causare grandi problemi sul lungo periodo.

mau_develop

  • Visitatore
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #13 il: 05 Mag 2014, 12:37:04 »
volevo scrivere due righe anch'io sulle problematiche che si possono creare usando questi strumenti di J o messi a disposizione dal server, il problema è che spesso tutto può dipendere dall'ambiente dove gira Joomla.
Server dedicati etc è difficili riempirli di monnezza e metterli a sedere perchè ti ci vuole talmente tanto tempo che l'admin pone rimedio.
Spesso i limiti imposti da un servizio possono diventare dannosi... vedi il limite di query... spazio db...spazio files... basta raggiungerli che in pratica provochi una negazione dei servizi per i nuovi visitatori.
I limiti vanno sempre valutati con attenzione....
I campi text dei form senza un max char mi permettono di inserire enormi quantità di dati finchè non interviene il limite di mysql; stesso discorso per immagini e altri contenuti che si consente di caricare agli utenti.

Se ci sono poi "handling" di cui si può occupare il server perchè farli fare ad un componente?
Perchè costruire un plugin di redirect se lo fa già htaccess in modo egregio?
un server ha già dei log "tarabili" perchè loggare gli errori di joomla?

Perchè questa dannata tendenza di riuscire a far fare di tutto a chiunque?
Ammesso che tu riesca ti manca poi la consapevolezza di ciò che hai fatto che mai nessun tool ti può risolvere

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #14 il: 05 Mag 2014, 12:49:13 »
Citazione
Se ci sono poi "handling" di cui si può occupare il server perchè farli fare ad un componente?
Perchè costruire un plugin di redirect se lo fa già htaccess in modo egregio?
un server ha già dei log "tarabili" perchè loggare gli errori di joomla?

saranno le stesse domande che si sta ponendo lo spammer che ho infastidito in questi giorni.

la vita dello spammer non deve essere mai  troppo poco difficile, quindi tutto ciò che lo danneggia deve essere considerato benvenuto.
« Ultima modifica: 05 Mag 2014, 13:06:16 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Ping da spammer e joomla si autoriempie di monnezza
« Risposta #15 il: 05 Mag 2014, 22:56:48 »
aggiornamento:

proprio ora ho aperto il logs del sito più preso di mira dallo spammer
file error.php  pulito,  e redirect intonso

è stata dura, una intera giornata e mezza di osservazione su tutti i siti della macchina ma almeno per oggi si è stufato a cambiare ip,  e il fatto che cambiava ip  significava che si accorgeva del ban.

per il resto vedremo.. domani è un altro giorno.


(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

 

Host

Torna su