log/error.php di 35Mb

[anto1701]

Salve a tutti mi sono ritrovato un file di 35mb l'ho aperto e vedo che sono tutti tentativi di login falliti, tutti a distanza di 1 secondo; immagino sia qualchescript che prova a bucarmi il sito, oltre a tenere tutto aggiornato e cambiare password c'e' qualche cosa che posso fare per rendere la vita piu' difficile a questi automatismi???

grazie a presto

[giusebos]

direi che sta funzionando tutto a dovere, a questo punto per evitare ulteriori tentativi c'è solo una soluzione: eliminare il sito.

[quenda]

Ciao.
Se ti riferisci al file error.php che si trova nella directory root/log,  il fatto che sia pieno di stringhe che riportano tentativi di accesso è (purtroppo) normale.


Per arginare il problema (che in pratica NON è grave) puoi disabilitare il report degli errori modificando il menu a tendina in Configurazione Globale > Server > Rapporto errori.
Impostando su "Nessuno" questo valore,  il file error.php CREDO non riporti più i tentativi di accesso, ma non ne sono certo al 100% e quindi devi provare.
A dire il vero questo metodo equivale a……bendarsi gli occhi per non sapere cosa succede intorno!!!…….infatti gli accessi al sito continuano ad avvenire come sempre.


Un metodo assai più utile ed efficace è invece quello di nascondere l'accesso di default al sito che come sappiamo è /administrator.
La guida di M.M. Leoni è semplice ed efficace: in pochi minuti renderai inutili i tentativi di accesso al sito da parte di programmi automatici utilizzati dalla maggiorparte degli hackers: http://www.mmleoni.net/sviluppo-joomla-esempi-e-trucchi/48-proteggere-l-accesso-alla-directory-administrator


Sfido chiunque a trovare la pagina di accesso al sito se per esempio l'indirizzo diventa:
www.ilmiosito.com/mirtilli/lamponi.php


Aggiungo che se vuoi "divertirti" a guardare tutti i tentativi di accesso degli hackers (principalmente stranieri…..ecco perché ho usato vocaboli italiani…), accedi al componente Redirect.


Ciao!


ettore

[tomtomeight]

Cambiare modo di accedere non servirà ad eliminare i log che registrano i tentativi sia che riescano che non riescano. Quindi anche cambiando oltre che non diminuire aumenteranno.

[quenda]

Cambiare modo di accedere non servirà ad eliminare i log che registrano i tentativi sia che riescano che non riescano. Quindi anche cambiando oltre che non diminuire aumenteranno.

No.
Questo perché gli script che tentano di accedere al backend del sito Joomla cercano un indirizzo che termina con /administrator e non trovandolo abbandonano dopo alcuni secondi (e il file error.php non riporterà alcun tentativo di accesso).


Infatti il file error.php registra i tentativi di accesso qualora si utilizzino credenziali ERRATE per accedere al backend.
Se la pagina in cui inserire le credenziali (username e password) non è accessibile, non sarà possibile inserire le credenziali e quindi non verrà generato errore.


Se poi (come succede regolarmente) lo script tenta di accedere al backend tramite un altro url (ad esempio: http://www.ilmiosito.com/it/wp-login.php), verrà solo generata una pagina 404 con relativa segnalazione nel componente Redirect. Anche in questo caso il file error.php non riporterà errore e rimarrà entro dimensioni accettabili.


ettore

[tomtomeight]

Hai ragione ma joomla non è il solo a registrare i log, ci sono a livello di server tanti altri log che registrano tutto anche i tentativi che portano a 404 e molto altro. Poi sconsiglierei di attivare la registrazione degli url nel componente redirect così si aumenta il peso del db in modo esponenziale. meglio tenerlo disattivato e attivarlo solo alla bisogna.

[Alex21]

Salve a tutti mi sono ritrovato un file di 35mb l'ho aperto e vedo che sono tutti tentativi di login falliti, tutti a distanza di 1 secondo; immagino sia qualchescript che prova a bucarmi il sito, oltre a tenere tutto aggiornato e cambiare password c'e' qualche cosa che posso fare per rendere la vita piu' difficile a questi automatismi???

Puoi anche inibire l' accesso al sito di quel particolare IP.
Le righe di /log/error.php sono quasi sempre di questo tipo:


2016-08-25T05:17:51+00:00   INFO 46.118.112.19   joomlafailure   Nome utente e password non corretti o non hai ancora un account.


Aggiungi al file .htaccess queste righe:
#

order allow,deny
deny from numero IP dopo INFO
allow from all


Non funziona se l' intruso dispone di molti IP e allora puoi 'tagliare' tutta la rete con istruzioni tipo
deny from mumero Ip/16  o similari. Però è meglio non farlo perché potrebbe trattarsi dell' IP  di un ISP fornitore di connessione.


Ciao!

[saliinvetta]

Buongiorno ragazzi una cosa analoga.
Mi è capitato qualche volta di trovare nella mia cartella logs (nella root principale del mio sito), due file...
Uno il classico error.php e un secondo file 1.error.php
Entrambi i file sono praticamente te impostati identici, con tutta l'intestazione uguale e il piccolo elenco di indirizzi IP con i suoi errori.
È una cosa normale? Può essere il sistema che ha fatto questa cosa ? Grazie mille

[tomtomeight]

Scusa ma ti sei solo accodato a questo post o lo hai letto pure? Ed avrai pure letto che e meglio sempre aprire nuovi post?