• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Internal Server Error 500 - Периодически раз в 3-5 дней

Форумы Хостинг Internal Server Error 500 - Периодически раз в 3-5 дней
894966
23.02.2014
хостинг: есть
домен: есть
Internal Server Error 500 - Периодически раз в 3-5 дней
Уже третий раз восстанавливаю проект из резервных копий. Техподдержка рекомендует только это, говорит у Вас повреждены файлы. Понять не могу как файлы сами повреждаются? Сайт работает с 2007 года. В данном дизайне уже два года. Изменения вносят через админ панель исключительно добавляя только статьи. Есть предположение, что сайт ломают преднамеренно. Посещаемость 1000-1500 человек в сутки. Неужели такая посещаемость интересует кого то?

После прошлого восстановления сменил все пароли: на базу данных, на ФТП, обновил Joomla с 2.5.8 до 2.5.18 (последняя 2.5 на данный момент), думал может эксплойт какой. Была надежда, что не повторится. Но вчера сайт опять упал с ошибкой Internal Server Error 500 - прошло ровно 5 дней.

Что происходит и как и где найти?
ZimbalisT
23.02.2014
хостинг: есть
домен: есть
Если откат из бекапом помогает, то однозначно файлы меняются. Если есть доступ в админку после падения сайта, поотключайте все дополнительные расширения и модули, чтобы остался чистый движок, и проверьте работу сайта. Если проблема исчезла, значить ее виной есть работа какого то модуля. Включайте поочередно и проверяйте работу сайта. Таким образом сможете найти проблемный модуль.
Второй вариант - сравнивать даты изменений файлов из рабочей копии и упавшего сайта. Найдя изменившиеся файлы, сравнивайте их содержимое и смотрите, что именно изменилось.
894966
23.02.2014
хостинг: есть
домен: есть
Спасибо за ответ. Попробую если повторится, выкачать файлы и буду сравнивать. Просто непонятно, как может начать ломаться то, что работало 2 года без единого изменения в коде. Это же не автомобиль.

Читаю логи перед атакой:
ModSecurity: Access denied with code 424 (phase 1). IPmatchFromFile "176.67.169.201" matched at REMOTE_ADDR. [file "/usr/local/apache2/conf/modsecurity/slr/modsecurity_slr_10_ip_reputation.conf"] [line "38"] [id "2200002"] [msg "SLR: Client IP in TOR Exit Nodes Blacklist."] [tag "REPUTATION/ANONYMIZER"] [hostname "baker-group.net"] [uri "/"] [unique_id "UwVlTVvOyGoABVKAvyYAAAAM"]

ModSecurity: Access denied with code 424 (phase 2). Match of "rx (http://bsalsa\\\\.com)" against "REQUEST_HEADERS:User-Agent" required. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "7316"] [id "330094"] [rev "4"] [msg "RS-2: Fake User Agent String"] [severity "CRITICAL"] [hostname "31992.proektir.web.hosting-test.net"] [uri "/forum/index.php"] [unique_id "UwWN4lvOyGoABss2NJIAAAAV"]

ModSecurity: Access denied with code 424 (phase 2). Pattern match "www\\\\.80legs\\\\.com" at REQUEST_HEADERS:User-Agent. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "7372"] [id "333514"] [rev "2"] [msg "RS-2: Bad Bot www.80legs.com"] [severity "CRITICAL"] [hostname "baker-group.net"] [uri "/contacts/2009-11-26-04-46-14/1277.html"] [unique_id "UwW7XlvOyGoACLp4tFQAAAAC"]

ModSecurity: Access denied with code 424 (phase 2). Match of "rx (?:/install/index\\\\.php|/index\\\\.php\\\\?mode=install&sub=create_table$|^/admin/test/examples/txtsqladmin/index\\\\.php|^/store/images/|^/([a-z]+/)?wp-admin/(?:admin|options-general)\\\\.php\\\\?page=wpsc-settings)" against "REQUEST_URI" required. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "228"] [id "340157"] [rev "36"] [msg "RS-2: Generic SQL inline command protection"] [data "concat("] [severity "CRITICAL"] [hostname "baker-group.net"] [uri "/safety-for-confectionery-332/function(){var d=[];for(var b=0,a=this.length;b<a;b++){var c=typeOf(this[b]);if(c==\\"null\\"){continue;}d=d.concat((c==\\"array\\"||c==\\"collection\\"||c==\\"arguments\\"||instanceOf(this[b],Array))"] [unique_id "UwXpqlvOyGoACuDiXmoAAAAX"]

Что это? Айпи у всех разные, довольно подозрительная штука
ZimbalisT
23.02.2014
хостинг: есть
домен: есть
Это срабатывает система безопасности хостинга. Записи в логах "Access denied with code 424" говорят о том что она сработала, то есть диверсия не удалась. Первые три срабатывания в принципе безобидные, а вот четвертое говорит о попытке взлома админки.
894966
23.02.2014
хостинг: есть
домен: есть
Посмотрел логи по админке, кучи разных айпи пытались войти: нидерланды, россия, сша, с разных городов. Неужели кому-то очень нужен мой сайт? Маразм
ZimbalisT
23.02.2014
хостинг: есть
домен: есть
Это скорее всего боты, перебирающие доступные в интернете сайты на наличие уязвимостей. Они работают не целенаправленно, а ломают все, до чего могут дотянуться.
894966
23.02.2014
хостинг: есть
домен: есть
буду ждать 5 дней.
Андрей
23.02.2014
хостинг: есть
домен: нет
Скорее всего у Вас на сайте установлена библиотека RokCommon, которая собирает лог в файл sait.com/www./logs/rokcommon.php
Когда данный файл превышает 1GB сайт начинает отдавать 500 ошибку. Очистите содержимое файла либо установите в рнтабе задачу время от времени очищать этот файл, либо отключите логирование в данной библиотеке (если это возможно)
894966
23.02.2014
хостинг: есть
домен: есть
Скорее всего у Вас на сайте установлена библиотека RokCommon, которая собирает лог в файл sait.com/www./logs/rokcommon.php
Когда данный файл превышает 1GB сайт начинает отдавать 500 ошибку. Очистите содержимое файла либо установите в рнтабе задачу время от времени очищать этот файл, либо отключите логирование в данной библиотеке (если это возможно)
© Андрей

Отключил логирование. Спасибо за совет. Вполне возможно что за много лет он вырос до 1 гб. Посмотрим
Илья
23.02.2014
хостинг: есть
домен: есть
А почему Вы не используете защиту от взлома админки ботами, описанную в новостях: Атака на сайты Joomla и WordPress
894966
23.02.2014
хостинг: есть
домен: есть
А почему Вы не используете защиту от взлома админки ботами, описанную в новостях: Атака на сайты Joomla и WordPress © Илья

Использую с первого дня.
Прикрепленные файлы:
894966
25.02.2014
хостинг: есть
домен: есть
Сайт опять лежит. Прошло два дня. Скачиваю буду сравнивать файлы. Меня уже начинает это злить.
894966
25.02.2014
хостинг: есть
домен: есть
Проблема решилась надеюсь. Методом проверки файлов нашел лог, в нем писалась ошибка связанная с отсутствием одного файла в компоненте com_rokgallery

Данная ошибка писалась по строчке полтора года. В итоге файл действительно дорос до 980мб.

Все почистил. Скормил сайту этот потерянный файл. Ошибки уже не пишет. Надеюсь и падать перестанет.

Выражаю благодарность за помощь: Zimbalist и Илья
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города