Hosting Wedos – první zkušenosti?

28. 7. 2013 11:29:40

Napsal Damian;978523
Měl jsem podobný problém a na podpoře mi toto vyřešili. Ale už je to asi rok zpět a to byli na podpoře asi jiní lidé.

Stále stejní lidé :-) Je nás 15 i s uklízečkou a za poslední rok se u nás nezměnilo nic. Tedy kromě toho, že jsme vyrostli téměř na dvojnásobek své velikosti před rokem...

Jsou některé věci, které děláme běžně a snadno poradíme (i nad rámec toho, co slibujeme), ale některé věci jsou složitější a to už je pro programátora (i na hodiny).

28. 7. 2013 11:29:40

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564378

privat

(20 hodnocení)

28. 7. 2013 11:35:37

Napsal Damian;978523
Měl jsem podobný problém a na podpoře mi toto vyřešili. Ale už je to asi rok zpět a to byli na podpoře asi jiní lidé.

Ty hesla jsou v databázi šifrovaná / podle mého, podotýkám laického úsudku je zakopaný pes zde.

28. 7. 2013 11:35:37

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564377

FanToM.

(2 hodnocení)

5. 8. 2013 18:54:55

Já nevím jak bych měl řešit tento problém, už s tím mám nějaký ten pátek problém.

z vašeho webhostingu zaznamenáváme velmi velké množství odchozích spojení (řádově tisíce za sekundu).

Typ spojení: TCP SYN

Cílová IP: 2a00:1450:4008:0c01:0000:0000:0000:0076

Cílový port: 80

To může znamenat několik věcí:

1) Regulérní, avšak nevhodný způsob komunikace s nějakým externím zdrojem. Takto intenzivní odchozí komunikaci my však z preventivních důvodů blokujeme, a tak musíte svou aplikaci upravit, aby komunikovala méně intenzivně.

2) Chyba ve vaší aplikaci, např. zacyklená komunikace. Problém je nutné opravit.

3) Jedná o DoS útok, váš web může být napaden a zneužíván útočníky k jejich aktivitám.

V každém případě je nutné nám tato odchozí spojení vysvětlit a problém vyřešit.

Jak tohle vyřešit? YBohužel nejsem žádný exert abych nečemu takovému rozuměl. Web jede na WP.

5. 8. 2013 18:54:55

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564376

Nergall

5. 8. 2013 20:02:27

Napsal FanToM.;982298
Já nevím jak bych měl řešit tento problém, už s tím mám nějaký ten pátek problém.

z vašeho webhostingu zaznamenáváme velmi velké množství odchozích spojení (řádově tisíce za sekundu).
...
Jak tohle vyřešit? YBohužel nejsem žádný exert abych nečemu takovému rozuměl. Web jede na WP.

Web ti buď někdo hacknul a na někoho teď útočí a nebo se někam blbě spojuješ. Předně bych tedy aktualizoval redakční systém a zkusil najít nějaké hacky.

Dále bych zjistil čí je to IP adresa.. https://apps.db.ripe.net/search/query.html?searchtext=2a00%3A1450%3A4008%3A0c01%3A0000%3A0000%3A0000%3A0076&sources=RIPE_NCC#resultsAnchor .. Googlu.

Proč se tedy web intenzivně spojuje s Googlem? Jako webmaster bys měl vědět, kam se tvůj web spojuje, zbývá tedy odhalit proč se to spojuje takhle rychle. Může jít o špatně napsaný skript (plugin, ..) nebo také může být web pod útokem - někdo se přes něj snaží spamovat či útočit - tedy tvoří neobvyklé přístupy a to pak způsobuje toto.

Takže, nyní zbývá zapnout co nejvíce logování či dalších ladících výstupů a odhalit neobvyklé aktivity.

5. 8. 2013 20:02:27

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564375

Bacon

(2 hodnocení)

5. 8. 2013 20:06:44

Můžeš taky zkusit plugin jako Wordfence, který proskenuje soubory a poukáže na ty podezřelé.

5. 8. 2013 20:06:44

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564374

FanToM.

(2 hodnocení)

5. 8. 2013 21:46:21

RS je aktuální.

Můj web by se nikam neměl spojovat. Nic na nějaký spojování tam nemam.

Bacon: Jak mam proskenovat souory? Nějak to tam nemůžu najit.

5. 8. 2013 21:46:21

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564373

Bacon

(2 hodnocení)

5. 8. 2013 21:47:51

Wordfence -> Scan, pak tlačítko Start a Wordfence Scan a čekat. Není to stoprocentní, ale poukáže to na rozdíly v souborech, které by tam být neměly.

5. 8. 2013 21:47:51

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564372

FanToM.

(2 hodnocení)

12. 8. 2013 20:22:26

tak wordfence nic nenašel. Poznal by někdo z acceslogu něco? poslední spojení bylo Aug 12 11:11:23 wl7-f71 kernel: UDPLIMITOVERIN= OUT=eth0 SRC=2a02:2b88:0001:0004:000a:0000:0000:1a78 DST=2a00:1450:4008:0c01:0000:0000:0000:0076 LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=TCP SPT=55807 DPT=80 WINDOW=14400 RES=0x00 SYN URGP=0 UID=17273 GID=500

12. 8. 2013 20:22:26

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564371

Samson

12. 8. 2013 23:13:14

Napsal FanToM.;985006
tak wordfence nic nenašel. Poznal by někdo z acceslogu něco? poslední spojení bylo Aug 12 11:11:23 wl7-f71 kernel: UDPLIMITOVERIN= OUT=eth0 SRC=2a02:2b88:0001:0004:000a:0000:0000:1a78 DST=2a00:1450:4008:0c01:0000:0000:0000:0076 LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=TCP SPT=55807 DPT=80 WINDOW=14400 RES=0x00 SYN URGP=0 UID=17273 GID=500

Dobrý den,

adresa kam se to připojuje 2a00:1450:4008:0c01:0000:0000:0000:0076 patří, hádejte komu.

www.google.com E.T. volá domů :-)

Je překvapivé, že Vám tohle hosting není schopen říct.

12. 8. 2013 23:13:14

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564370

McFly

(4 hodnocení)

13. 8. 2013 06:46:50

Když na chvilku vypneš webserver, podivná spojení jsou stále navazována? netstat -p by měl zobrazit, aká aplikace toto spojení navazuje.

13. 8. 2013 06:46:50

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564369

FanToM.

(2 hodnocení)

13. 8. 2013 17:37:11

On je problém v tom, že připojení se objevuje náhodně, neni to neustále. A u wedos hostingu nikam nemůžeš zadat netstat -p.

Myslíte že by se to mohlo vyřešit nahozením jiné šablony?

13. 8. 2013 17:37:11

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564368

Samson

13. 8. 2013 19:37:27

Napsal McFly;985116
netstat -p by měl zobrazit, aká aplikace toto spojení navazuje.

Dá se čekat, že na sdíleném webhostingu bude tou aplikací proces "php*" nebo "httpd" (na RHEL) či "apache" na Debianu pokud se používá mod_php5.

Napsal FanToM.;985383
On je problém v tom, že připojení se objevuje náhodně, neni to neustále. A u wedos hostingu nikam nemůžeš zadat netstat -p.

Myslíte že by se to mohlo vyřešit nahozením jiné šablony?

Zkuste změnit šablonu na bundled Twenty Ten a pokračujte vypnutím všech pluginů (hlavně těch "SEO"). V konfiguraci vymažte všechno, kde uvidíte google.com (např. Nastavení / Publikování / Aktualizační služby). Aktuální verzi Wordpressu předpokládám máte.

Bylo by zajímavé analyzovat access.log webserveru, zda k připojením dochází během běžného provozu nebo jsou tam nějaké nenormální requesty. Případně by se dal udělat audit kódu a analýza v izolovaném prostředí.

13. 8. 2013 19:37:27

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564367

Václav Dušek

(78 hodnocení)

13. 8. 2013 20:02:40

Zkusil bych zkopírovat data webu na lokální počítač a projet to antivirem - někdy to pomůže.

Na sdíleném hostingu moc možností jak odhalit škůdce, bez spolupráce s hosterem, není

13. 8. 2013 20:02:40

https://webtrh.cz/diskuse/hosting-wedos-prvni-zkusenosti/strana/50#reply564366

McFly

(4 hodnocení)

13. 8. 2013 20:08:15