Piratage récurrent

Je suis dans le même cas que toi, quand ovh coupe ton site ce n'est pas un while qui merde, mais tu as une faille de securité dans ton CMS, site.
C'est par période pour moi, genre tout les jours à certaines heures et l'attaque vise docs.google.com, ils doivent morfler en Californie.
Les logs(même ou) ne t'aide pas du tout sur ce coup, genre te donner le fichier qui éxécutent la requête...juste vérifier que ta faille est encore là.
Du coup si t'as pas corrigé ta faille, ça revient, tu fais partie d'un listing, et il execute des attaques ponctuellement avec ce listing.

Moi j'ai testé mon site avec ça : www.detectify.com (les pirates utilisent peu ou prou des scanners identiques)

Si il te remonte du CRITIQUE, il faut corriger ...J'avais du critique(XSS possible) sur du wordpress mis à jour automatiquement pourtant !! en allant voir la date des fichiers, la mise à jour auto merdait et ne remplaçait pas certains fichiers mis en cause par detectify.
Mise à jour manuelle, c'est mieux.

Après tu blindes ton site avec un .htaccess survitaminé :
https://forum.ovh.com/showthread.php...tes-et-hackers

ton site ne les intéresse en tant que tel, mais plus pour les integrer à un réseau d'ordinateurs attaquant ensemble un autre site.


A+

Salut !

Le out s'est un peu rempli le 23 mais beaucoup moins que la veille et avant, mais depuis rien à signaler... Alors que concrètement je n'ai rien changé...

Soit c'est un problème de prog et le problème est rare (mais possible), soit c'était une attaque et ils ont changé de proie pour le moment...

Merci de ta sollicitude

Hello Iseldore_, ton problème est résolu depuis ? *Curieux*

Bonjour,

J'ai ajouté dans toutes mes boucles une fonction pour écrire dans un fichier de log, avec le nom de la méthode qui bouclerait.

Cela fait une heure maintenant, et je n'ai aucune entrée dans mon log, le pire étant que le log out d'ovh continue et ne cesse d'augmenter...

Pour te donner une idée, le log d'aujourd'hui pèse 82Mo. Ce que je trouve assez énorme.

Dans le log error, je n'ai que des read failed sur mon index.

Je vais vérifier toutes mes boucles demain. Je reviendrais ici.

Oui, j'ai été incomplet.

Dans les logs d'accès, tu le verra tout de suite tu as des milliers de requêtes (ce que j'ai appelé flood) à la suite et dans ce cas, oui, tu peux penser à une attaque.
Si tu ne vois que quelques requêtes et/ou second symptôme si ton site met du temps à charger (ou qu'il a tendance à mouliner un peu), il est fort probable qu'une boucle while se cache derrière tout ça.

Dans les logs "out", là, c'est les tentatives de connexions provenant d'une de tes pages vers l'extérieur. Et si un while en effectue beaucoup, il va faire grossir (en flèche !) le fichier de log.

Peut-être que dans les logs errors, tu verras des pages php en timeout ? (Et si c'est le cas, ça renforce mes soupçons sur une boucle while).

Après, une boucle while de ce type peut potentiellement être dû à un piratage.... mais en général la cible est un autre site et pas google. D'où mes soupçons sur des appels d'API.

Par exemple, j'ai déjà vu des boucles à cause d'un while dont la condition se basait sur le résultat d'un champ d'un json renvoyé par l'api... Hors si l'api n'a pas réussi à être contacté (pour diverses raisons), alors là... c'est boucle infinie car la fameuse variable ne peut pas être récupérée et devient une valeur non "prévu".

Bon courage !

Je vais me repencher dessus dès demain matin.

Dans le log j'ai des centaines/milliers de lignes à la même seconde.

Quelle est la différence pour toi entre "flood" et "grossir en flèche" ?

Merci de ton aide en tout cas

Si dans les logs ovh tu ne voits pas un "flood", ce n'est pas un DDOS mais plutôt un while avec une condition qui va pas bien . Une petite erreur non vu car tu connais trop bien ton code (si si, sa m'arrive aussi).

Une fois qu'une page web a été lancé et que le while est partit, ton log out va grossir en flèche. Pire encore si tu as du monde sur ton site.

La boucle peut intervenir parce que la connexion échoue vers les API de google également, et dans ce cas, tu ne verra rien sur le panel google. D'ailleurs, les logs out correspondent-ils à ton sleep de 0.5s ?

Oui j'en utilise. Sauf que toutes les requêtes liées sont recensés dans la console Google developer, et rien d'anormal, j'ai genre 200 requêtes par api.

C'est du développé maison, et en effet j'utilise file_get_content pour mes requêtes Google Maps, mais dans un while et avec un sleep de 0,5 seconde et une variable qui permet de sortir de la boucle après 5 essais infructueux.

D'ailleurs à l'heure où je vous parle, le log "out" d'ovh ne cesse de se remplir, le site est complètement débordé et cloudflare (que j'ai installé après la première attaque) déplore in timeout sur le site.

Je n'ai pas énormément de notions en sécurité mais cela ressemble à du DDoS...

Utilises-tu des services google ? Genre google map ? localisation ? Mail ? Authentification google sur ton site ?

C'est un cms ? Framwork ? Développé maison ?

Je t'invite à vraiment chercher les mots clés tels que "google" dans ton code. Sa ne serait pas la première fois que je vois des sites utilisant google maps avoir des boucles infinies sur des fonctions de connexions genre fopen/curl/file_get_content.

J'entends par log out le log ovh qui recense les adresses ip sortantes.

Je testerais sucuri demain.

Quant à la boucle infinie j'ai déjà fouillé mon code... C'est étrange que ça ne soit arrivé que deux fois et en pleine nuit, en 6 mois de temps...

Néanmoins merci des réponses

Bonjour Iseldore_,

Je te recommande de rechercher quelque chose comme "google" ou "googleapis.com" dans tes fonctions.

Il est pas impossible que tu ai une boucle (genre while) qui tape sur l'api tant qu'elle n'a pas eu ce qu'elle voulait.

Cordialement,
Kyon

Ah sinon est-ce que tu as testé des outils comme Sucuri pour vérifier ?

https://sitecheck.sucuri.net//

Je garantis pas qu'ils trouvent quoique ce soit mais bon peut-être essayer pour voir. (Si tu as un malware planqué, ce qui pourrait expliquer l'attaque)

Ce n'est clairement pas la police. J'ai le même système et ça appelle simplement la police quand il y a une connexion. 50 000 ça ressemble à un DDOS.

Pardon quand tu dis log out tu veux dire quoi ?

Vu ton nombre de visiteurs, à part si tu as un ennemi juré, je dirais vraiment que ton site rencontre une faille parce que vois mal un concurrent tenter de te pirater pour 200 visiteurs par jour.

Est-ce que tu as contacté OVH sur leur compte Twitter à tout hasard ? En général ils répondent plus vite.

Sinon je te conseille de voir avec un copain qui 'touche' un peu les logs pour trouver la faille.

Merci pour vos réponses.

Le seul moment où je fais des appels à Google c'est dans mon header pour inclure une police.

J'ai regardé dans les logs, le seul d'intéressant dans mon cas est le log "out" où je retrouve l'ip de Google appelée 50 000 fois.

Le site a un trafic d'environ 200 personnes par jour, cependant dans les logs les attaques se sont déroulées en pleine nuit.

Je pense également à une faille, mais je ne sais pas où chercher...

Effectivement cela ressemble à une faille. N'hésitez pas à regarder vos logs web pour voir d'où ça pourrait provenir.

Le site est nouveau ? Vous dites qu'il a été mis en production il y a 1 mois. Il a quel trafic ?

Bonjour,

visiblement votre site à envoyé 52320 requêtes (en 5 minutes) sur une IP appartenant à google et OVH considère cela comme une attaque.

2 solution :
1 - vous avez un script qui va "taper" google, donc suffit de le couper
2 - quelqu'un a exploité une faille dans votre site, à vous de la trouver et corriger

Cordialement, janus57

Bonjour,

Cela fait deux fois qu'OVH passe mon hébergement en statut HACKEE, avec le message :

Je précise que le site a été testé pendant plusieurs mois, et ce n'est qu'un mois après la mise en production que le problème est apparu, ce qui me laisse penser que c'est une tentative de hack délibérée (du moins la personne cherche clairement à faire planter le site, ce qui se passe vu qu'OVH le passe en 0700.)

Auriez-vous des pistes pour éviter ce genre de désagrément ? Je précise que le site est codé en HTML / CSS / PHP / JS.

Je suis sur hébergement mutualisé.

Merci d'avance