Archives de
Tag: hébergeur

Attaque WordPress ?

Attaque WordPress ?

Site OutWordPress est un outil génial, facile à prendre en main et de ce fait de plus en plus utilisé sur la toile. Il devient alors une cible privilégié des cyber-attack tentant pour diverses raison d’y trouver des failles. Il y quelques heures, j’avais trouvé un comportement suspect dans l’affichage d’un des sites que je développe. Comme si une partie de la CSS était mal interprétée, voire modifié par un élément invisible. A l’heure actuelle, je ne sais pas si cela a un lien ou non avec la suite des évènements, mais cela m’a poussé à faire un tour sur le serveur. Là j’ai été interpellée par des fichiers suspects situés à la racine des répertoires comportant un WordPress et dans le répertoire Kernel d’un bon vieux Xoops.

Des heures et des heures à me creuser les méninges et m’énerver, soirée perdue, mauvaise nuit et humeur de chien le matin. Il est claire que je me passerais bien de ce genre de prise de tête ! Mais j’ai malgré tout la responsabilité de m’assurer de ne pas propager ou contaminer d’autres utilisateurs.

Lire la suite Lire la suite

Saturation serveur

Saturation serveur

Déjà quelques jours que je m’arrache les cheveux et perd un temps précieux sur un sérieux problème d’attaque Web sur mon serveur, un soucis qui semble s’orienter autour d’attaque de BingBot ou d’un bon bug dans celui-ci, le tout causant une charge CPU anormal sur le serveur.

Et c’est de la que le problème a été identifié. Contacté par Infomaniak il y a un moment, mon hébergement avait dû être démutualisé pour cause de surcharge CPU, or ce n’est pas vraiment le genre d’Infomaniak de faire la grimace ! Difficile de mettre la doigt exactement sur ce qui en est la cause, il a donc fallu tenter plusieurs pistes.

J’ai d’abord fait un genre de test malware de mes différents sites avec cet outil : http://sucuri.net/ sans grand résultat, il m’annonçait simplement que mes versions de WordPress n’était pas à jour. Dans la mesure où le passage à Worpdress 3.x impliquait toute une série d’incompatibilité plugins, je m’étais volontairement arrêté à la version 2.9.8.2  J’ai donc mis à jour mes noyaux, mis à jour les nombreux plugins et puis ?

Je me suis souvenu avoir lu qu’il était parfois utile de checker authenticité des thèmes wordpress utilisés. En effet, par exemble, celui de mon blog avait été réalisé au départ d’un thème datant maintenant de 2007…. Cause potentiel ? Pas vraiment sur, mais bon, cela n’aura pas fait de tord de mettre tout cela à jour

J’en ai profité pour faire du nettoyage sur mon serveur, par bloquer via .htaccess certains répertoires,… puis sous les conseilles d’Infomaniak, j’ai installé un outil d’optimisation de cache du site WP Super Cache, qui permet de diminuer les requêtes aux serveurs.

Mais rien à faire, la charge CPU restait toujours assez élevée… Dans les statistiques, je voyais qu’une page d’un de mes blogs était anormalement visitée, plus de 600.000 fois depuis début mai sans aucune raison. La page était plutôt clean, on aurait juste pu lui reprocher un embed de player Jamendo… Un croisement avec les weblog du site me montre effectivement que le problème passe bien par là, on retrouve ce genre de log plusieurs fois par seconde en permanence :

157.55.17.151 – – [16/May/2012:00:00:10 +0200] « GET /cyborgjeff/site/albums/divagation-se-1997/%26layout=button_count%26show_faces=false%26width=250%26action=like%26colorscheme=light%26font=arial%26height=35px/1997/02/24/344-4u2-ethnic-drums-ftl-mix-16/1997/04/10/372-ego/1997/03/23/365-2-3-frutti-dance-classics/1997/02/24/344-4u2-ethnic-drums-ftl-mix-16/1997/04/10/370-introduction-of-dream-part-ii/1996/11/27/279-moon-day/1996/11/27/279-moon-day/1997/04/04/368-deep-house-titanic-mix/1997/04/10/372-ego/1997/04/10/372-ego/1997/04/05/369-i-get-no-sleep-part-2/1997/03/03/351-one-month-but-three-weeks-without-you-mixing/1997/03/16/361-hey-mister-dj/1997/02/12/335-space-del/1997/02/12/335-space-del/ HTTP/1.1 » 301 – « – » « Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm) »

Plusieurs choses m’intrigue là dedans, d’abord tout le blabla après la page proprement dit et ensuite des appels vers les urls des pages liées à la première, un peu comme si l’appel en question allait ouvrir une dizaine de pages d’un coup, ce qui pourrait évidemment expliquer la surcharge, ensuite à quoi peut bien faire référence ceci : %26layout=button_count%26show_faces=false%26width=250%26action=like%26colorscheme=light%26font=arial%26height=35px

J’ai tout d’abord supprimer ma page temporairement, les appels ont continuer sans soulager le serveur, et pour cause, c’est wordpress qui génère les messages d’erreur type 404 et compagnie, par contre fin de journée, le BingBot a fini par se lassé et la charge CPU est retombée… J’ai réactivé la page, et dès le lendemain, bardouf !

Petit check, les différentes IPs semblent bien provenir de Microsoft (MSNBot et BingBot), j’avais fini par trouver quelques Abus BingBot récent mais qui semble surtout provenir d’adresse IP douteuses, et cibler essentiellement les pages de logins ou de commentaires, ce qui n’est pas le cas ici… J’ai par contre aussi trouvé certaines personnes rapportant des comportements agressif et anormaux des BingBots officiels ces dernières semaines…

Que faire ? Pour l’heure j’ai bloqué l’accès à Bingbot et Msnbot via du code .htaccess

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^.*(msnbot).* [NC] # Si le user agent contient la chaine msnbot
RewriteRule ^.* – [F,L] # On interdit alors l’accès à la page

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^.*(bingbot).* [NC] # Si le user agent contient la chaine msnbot
RewriteRule ^.* – [F,L] # On interdit alors l’accès à la page

Cela soulage le serveur, mais je trouve la parade un peu trop large… j’aimerais bien pouvoir affiner cela, voir comprendre la raison du problème sur ma page bien précise… histoire de pouvoir me prémunir d’autres pertes de temps de ce genre !

>> Ici la solution finale mise en place : https://www.studio-quena.be/cyborgjeff/blog/2012/05/24/cyborg-jeff-vs-robots/

Lire la suite Lire la suite

A moi le monde de la VIDEO !!!

A moi le monde de la VIDEO !!!

Elle bonne quand même celle là !! Sortir ce genre de phrase de la part d’un vidéaste plongé dans le monde du multimédia… je suis sur que cela doit vous faire sourir… et pourtant !! Des vidéos à vous partager, j’en ai plein, plein… extrait des mariages que je bichonne tous les soirs, ou juste des petites séquences vidéo de la vie de Charly, le soucis, c’est que pour uploader une séquence de quelques minutes brut de mon Panasonic TZ6, un fichier .MOV de 275mo, j’en ai pour 3 heures… en espérant que la connexion au site hébergeur reste bien stable… Je dois donc aussi choisir où la partager Youtube, Facebook, Viméo… à une telle vitesse, je n’envisage même pas le multi-plateformes !

Mais depuis ce mois d’aout, ma vie a changé !!! Adieu petit abonnement Teledisnet Familly Pack dont je dispose depuis près de 10 ans… les 3,9 mb/sec en download et surtout 0,25 mb/sec en upload ne me manqueront pas… Après des années de reflexion, j’ai pris la décision de changer mon abonnement, non pas mon fournisseur d’accès internet, mais bien mon abonnement, pour passer à Voo Passionnément… Pourquoi avoir tant attendu pour regrouper sur ma facture le VooCorder, obtenir une formule Internet 4x plus rapide et disposer d’appel téléphonique de fixe à fixe illimiter pour le même prix me direz vous ??? C’est que j’ai mes petites adresses email @teledisnet.be depuis 10 ans !!! Et je n’étais pas vraiment motivé à l’idée de les perdre… Mais il fallait réagir, il fallait passer la vitesse supérieure !!! Le plus cocasse, c’est que malgré les différentes échanges avec le service technique de Voo pour savoir s’il était possible d’envisager mon adresse  @teledisnet.Be, la réponse avait toujours été négative… Une fois passer sur le nouvel abonnement, je leur téléphone pour avoir les infos concernant mon nouveau compte mail et mon répond : « Ah mais non monsieur, votre adresse teledisnet, vous la garderez toute votre vie !! » Si j’avais su !!!

Bref, me voilà avec un super 14 mb/sec en download et 1 mb/sec en upload… Je peux donc envoyer des vidéos sans trop de soucis…. Ajouter des photos sur mon Facebook n’est plus synonyme de bouchonnage de ma connexion web pendant 1/4 d’heure… et je peux tranquillement regarder des vidéos en HD sur Youtube sans attendre les préchargements incessant !

… et pour parfaire l’aventure, je peux maintenant disposer de nouvelles chaine en HD sur mon Voocorder depuis le 30 aout !! Dont BeTV HD !!! Il en faut des bonnes nouvelles de temps en temps non ?

hacking tourciveux

hacking tourciveux

Mwouaip, cela fait quelques mois que je trouve que je reçois beaucoup de spam sur le site de présentation de mon album « Goddessinmyhand »… en soi, je ne m’inquiétais pas plus que celà, puisque l’anti-spam faisait son boulot, mais plusieurs j’avais tenté de m’y connecter en tant qu’admin,… mais la page posait problème…

Aujourd’hui matin poussant un peu plus loin le problème, je mets la main dans un nid d’hirondelle poisseux… les pages de mon herbergement contiennent une ligne de code de type : /**/eval(base64_decode qui crypte 3 ou 4x du code PHP renvoyant perdu dans un fichier image.css.php d’autre lignes de codes cryptées… bon, je ne suis pas expert, car c’est du travail de pro, au point qu’aucun antivirus n’ai détecté quoi que ce soit depuis plusieurs mois… probablement aucune tentative d’attaque, juste des systèmes pour optimiser du référencement de l’autre coté de l’Himalaya… Bon, va falloir passer tout cela au nettoyage, comme si je n’avais que cela à faire… ensuite faire un tour sur d’autres hébergeur que je gère… ça à l’air plutôt ciblé avec une drole de page « testcjroot.php » des plus suspectes…

Au bon souvenir du mois d’avril 2009 :(