Serveur Free en boucle infinie sur mon site

Serveur Free en boucle infinie sur mon site - Hébergement - Réseaux grand public / SoHo

Marsh Posté le 19-05-2010 à 19:19:52    

Bonjour,
 
Tout d'abord je suis désolé si je me trompe d'endroit pour poster messieurs les modos, je ne sais pas si il faut que je poste ici ou dans la section FAI.  :pt1cable:  
 
 
Alors voici mon problème :
Depuis quelques jours je constatais une activité anormale sur mon site : une page "updateur.php" qui n'était appelée par aucune autre page, et qu'aucune page ne pointait, était appelée régulièrement. Je m'en rendais compte car je voyais des modifications effectuées notamment dans ma base de données.
 
Il faut savoir qu'il y a quelques jours encore, avant que je ne modifie tout un pan de mon site, Cette page "updateur.php" était appelée  par une autre page "page_appelante.php" toutes les 15s via un javascript. Le script a été modifié depuis et la page "page_appelante.php" ne comporte désormais plus le javascript.
 
Après avoir pensé qu'un cron que j'avais lancé faisait un peu n'importe quoi et bouclait à l'infini, je me suis penché sur le log que j'ai décortiqué.
 
 
 
Et la surprise : une ip : 82.***.***.*** lance une instruction GET sur ma page "page_appelante.php" toutes les 15s exactement depuis le 9 mai ! Voici ce que j'ai dans mon log :
 

Code :
  1. 82.***.***.*** www.mon-site.com - [09/May/2010:13:01:18 +0200] "GET /updateur.php HTTP/1.1" 200 45 "http://www.mon_site.com/page_appelante.php "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"


 
 
Après une recherche de l'ip sur google, je me suis aperçu que celle-ci provenait de chez free, peut être même d'un de leur serveur.  
J'ai appelé la hotline qui m'a indiqué qu'il s'agissait effectivement d'un serveur Free, mais qu'ils ne savaient pas pourquoi celui-ci se comportait ainsi. La personne que j'ai eu au téléphone m'a dit que leur système interne lui bloquait l'accès aux données relatives à ce serveur, et qu'elle ne savait pas qui est-ce que je pourrais appeler chez Free pour obtenir une explication de cet étrange phénomène.
 
 
Par conséquent, j'en déduis qu'avant que je ne retire mon javascript, ce serveur a appelé ma page et qu'il reste coincé dessus.  
 
Je me pose franchement plein de questions et je suis assez perplexe  :heink:
- pourquoi est-ce qu'elle est ouverte par le serveur (puisque le javascript semble s'exécuter) (est-ce le navigateur qui est identifié comme Mozilla et l'OS est-il windows ?)
- comment dire à ce serveur d'arrêter ?
 
 
Merci d'avance
 
;)


Message édité par nisalon_caje le 19-05-2010 à 19:23:27
Reply

Marsh Posté le 19-05-2010 à 19:19:52   

Reply

Marsh Posté le 19-05-2010 à 19:45:20    

dire à ce serveur d'arrêter si Free ne veut pas coopérer je ne sais pas, par contre en attendant tu peux toujours bloquer cette IP via iptables, ça fera peut-être bouger les choses...


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 19-05-2010 à 19:54:49    

Le problème c'est que je suis sur un hébergement mutualisé, donc je n'ai pas accès à iptables :(


---------------
http://nisalon.labrute.com/
Reply

Marsh Posté le 19-05-2010 à 20:54:16    

ban de l'ip avec un .htaccess

Reply

Marsh Posté le 20-05-2010 à 19:51:56    

+1 pour le .htaccess. Par contre, en 82, je pencherais plus sur une IP de connexion qu'un serveur, qui serait plus en 212. Mais on n'a pas l'IP entière, on ne peut pas vérifier.
Et pour ce qui concerne les serveurs/pages perso Free, faut pas passer par la hotline, mais par les NG.


---------------
http://www.aideinfo.com/  Whois adresses IP/domaines le plus évolué !!  FAQ Free Mobile
Reply

Marsh Posté le 24-05-2010 à 18:15:13    

Qu'est ce que sont les NG ?
 
Et sinon, je l'avais ban via un htaccess, et il a ramené 10 potes qui balancent une requête par seconde (sur un fichier qui a été déplacé, donc qui plus est ils ne le trouvent pas).
 
Y a-t-il une solution autre que le ban 1 par 1 des ip ?
 
PS : je me retrouve avec les logs de 400 Mo/jour.
 
Vu qu'il n'y a aucune sortie, est-ce que cela compte dans ma bande passante ?
 
 
 
Edit : je vous colle une copie de mon log d'erreur :

Code :
  1. [[Mon May 24 18:26:22 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  2. [Mon May 24 18:26:23 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  3. [Mon May 24 18:26:24 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  4. [Mon May 24 18:26:26 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  5. [Mon May 24 18:26:27 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  6. [Mon May 24 18:26:28 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  7. [Mon May 24 18:26:29 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  8. [Mon May 24 18:26:30 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  9. [Mon May 24 18:26:32 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  10. [Mon May 24 18:26:33 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  11. [Mon May 24 18:26:34 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  12. [Mon May 24 18:26:35 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  13. [Mon May 24 18:26:36 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  14. [Mon May 24 18:26:37 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  15. [Mon May 24 18:26:38 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  16. [Mon May 24 18:26:39 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  17. [Mon May 24 18:26:40 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  18. [Mon May 24 18:26:41 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php
  19. [Mon May 24 18:26:42 2010] [error] [client 109.212.44.8] [host www.monsite.com] script not found or unable to stat: /homez.337/monsite/www/stats/script22.php, referer: http://www.monsite.com/index.php


 
Et j'ai ça pour je ne sais combien de machines, j'ai l'impression que le nombre d'ip appelant est de plus en plus élevé.


Message édité par nisalon_caje le 24-05-2010 à 18:37:34
Reply

Marsh Posté le 24-05-2010 à 21:49:02    

Ce sont des IP Orange ADSL. Je penche pour des PC zombies (ce qui me conforte dans l'idée que les IP Free sont plus des connexions ADSL que des serveurs, qui sont normalement sur des plages en 212.
 
NG = Newsgroup. Free propose une série de newsgroups en proxad.free.* pour le support. Pour les pages persos, tu as notamment Yohan qui intervient, l'admin des Pages Persos. C'est le meilleur moyen de le contacter (si ce sont des serveurs, ce dont je doute).
 
Tu peux essayer de faire un script de ban auto dans une page d'erreur 404, mais ton .htaccess risque de grossier à vue d'oeil si ce sont des zombies. Tu peux aussi contacter le support Orange pour qu'il bloque les connexions en cause.


---------------
http://www.aideinfo.com/  Whois adresses IP/domaines le plus évolué !!  FAQ Free Mobile
Reply

Marsh Posté le 24-05-2010 à 23:20:02    

ok, heu veux tu que je t'envoie par PM un lien vers le log complet, car évidemment il n'y a pas que cette ip là ?
 
J'avais pensé à la redirection avec écriture automatique dans le htaccess pour un ban, mais j'étais parvenu à la même conclusion que toi, que mon htacces allait méchamment grossir.
 
Saurais-tu pourquoi des pc zombie "attaquent" mon site web ? Et d'ailleurs l'attaquent-ils ? Que font-il là ?
 
Et enfin, pourrais tu me renseigner car je me pose la petite question suivante : dans mon log de connexion (pas ce que tu as ci-dessus, qui est le log d'erreur que me fournit ovh), j'ai pour chaque requete une ligne.  
Bien entendu, si les zombies viennent faire mumuse sur mon site, et bien j'ai plein de lignes qui ne devraient pas être là. Ainsi, je me demande si ces requêtes sont considérées dans le décompte de bande passante du site, car chaque jour le log de connexion grossi de plus en plus (ou est-ce que seules les données renvoyées par le serveur comptent ? )

Message cité 1 fois
Message édité par nisalon_caje le 25-05-2010 à 00:35:52

---------------
http://nisalon.labrute.com/
Reply

Marsh Posté le 25-05-2010 à 14:12:23    

J'ai des tentatives de piratage sur un petit site perso qui n'a rien de particulier. Ils choisissent une cible selon des critères. PArfois ils visent simplement un script (CMS, forum, ...) précis.
Ce qu'ils font ? Demande-le aux "propriétaires" de ces zombies.
 

Citation :

ok, heu veux tu que je t'envoie par PM un lien vers le log complet, car évidemment il n'y a pas que cette ip là ?


 
Pour les IP Free ? Quelques IP complètent suffisent. Tu peux aussi voir toi-même sur un Whois. Si tu veux que je regarde le log, il me faut des infos pour repérer facilement les lignes et pas passer des heures à l'examiner.


---------------
http://www.aideinfo.com/  Whois adresses IP/domaines le plus évolué !!  FAQ Free Mobile
Reply

Marsh Posté le 25-05-2010 à 15:00:56    

nisalon_caje a écrit :


Bien entendu, si les zombies viennent faire mumuse sur mon site, et bien j'ai plein de lignes qui ne devraient pas être là. Ainsi, je me demande si ces requêtes sont considérées dans le décompte de bande passante du site, car chaque jour le log de connexion grossi de plus en plus (ou est-ce que seules les données renvoyées par le serveur comptent ? )


 
Oui ça compte comme n'importe quelle requête, très vraisemblablement.


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed