Ostrzeżenie hostingu o dużym zużyciu procesora

[bnet]

Witam, otrzymałem maila od hostingu z ostrzeżeniem że jedna z moich domen generuje bardzo duże zużycie procesora. Strona działa normalnie, nie ma śladów włamania przynajmniej widocznych. Dołączam logi serwera, nie bardzo potrafię je zinterpretować, dlatego proszę o pomoc, dodatkowo czy ktoś może mi powiedzieć czy to jakiś moduł tworzy takie podstrony http://www.biletyautobusowe.net.pl/p...e/10-news.feed czy to jakiś kanał rss, jakiś dodatek nowości, jak powstała ta podstrona, co to jest news-feed, i jak sie tego pozbyćreport-domain-usage-biletyautobusowe.net.pl-2016-02-03.txt

[Pawelo31]

Nie widać śladów włamania, ale ono zapewne jest. Mam to czasem na swoim serwerze i usuwam ten plik, który to robi. To jest często plik, który się sam siebie wywołuje i przy okazji wczytuje inną stronę. Parę linijek kodu, a tyle szkody. Twój hostingodawca powinien sobie dać radę z tym problemem. Jest to niebezpieczne ponieważ można stracić domenę przez takie działanie. Domena jest do odblokowania jeśli ktoś zakupi ją na nowo (inny właściciel) i zgłosi google aby odblokowało. Samo zużycie procesora to nic, ale chodzi o to, że można stracić domenę jeśli hosting tego nie wyłapie.

3300

[bnet]

Lepiej przywrócić backup strony ? czy usunąć ten plik , ale jak go namierzyć ? który to plik ? i czy np ta podstrona ma z tym coś wspólnego ? http://www.biletyautobusowe.net.pl/news.feed co to jest ?

[Bazyl]

@pawel25, chyba pomyliłeś wątki. O czym Ty piszesz?

[bnet]

@Bazyl, czy byłbyś łaskaw zerknąć na dzisiejsze logi serwera ? nie chce gotowego rozwiązania problemu (za takie rzeczy sie płaci), chciałbym wskazanie jakiegoś kierunku. Z góry dziękuje

http://www.biletyautobusowe.net.pl/logi.txt

[mjmartino]

Witam
Z logu wynika że boty robią Ci brutal force na administratora
A więc zainstaluj coś co blokuje brutal force jak nie stać cię np na RSFirewall to najprostszym będzie brutal force stop
Dodaj do htaccess na końcu

Kod:

deny from 52.48.229.196
deny from 52.49.15.189
deny from 157.55.39.98

Pozdrawiam

[zbig1972]

Nie sądzę aby to boty z Ireland Dublin Amazon Data Services Ireland Limited oraz United States Seattle Microsoft Corporation atakowały podkatalog /Administrator[
Co jak co, ale z logów tego nie wynika, właściwie to podsumowania statystycznego z całej doby.
Jeśli możesz to daj nam prawdziwy plik z logami z całej doby. Będzie w nim zapis mniej więcej taki:
52.48.229.196 - - [03/Feb/2016:01:02:00 +0100] "GET /administrator/index.php?option=com_installer&view=manage tmpl=component&print=1 HTTP/1.1" 200 4994 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 8_3 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12F70 Safari/600.1.4 (compatible; Googlebot/2.1; +http://www.amazon.com/bot.html)" 1247 11057 biletyautobusowe 310 27 0 0
I tak całą dobę pokaż od 00.00.00 do 23.59.59 w pliku .txt

[bnet]

Witam, dziękuje za zainteresowanie, chciałbym jeszcze zapytać co to i skąd się biorą te podstrony z rozszerzeniem .feed ? oto pełne logi z 2 dni http://www.biletyautobusowe.net.pl/log.tgz

[bnet]

Kolejne ostrzeżenie od hostingu, Obciążenie przez roboty indeksujące: 2735625 ms (%) 5.08% ref. , już nie wiem czego się czepić, zainstalowałem jsecurelight ukrywając administratora ale chyba nic to nie dało. w linku kompletny log z 8.02, dzień z największym obciążeniem www.biletyautobusowe.net.pl/lognowy.gz

[wezykowski]

Tak na szybko:

W .htaccess wpisz:

<Files index.php>
Allow from X.X.X.X
Deny from all
</Files>

gdzie X.X.X.X to numer IP komputera, z którego logujesz się jako administrator.