Акция!  Домен 34 грн, домен 55 грн, домен  - 200 грн домен  - 65 грн, домен  - 99 грн, домен  - 56 грн!, домен  - 425 грн!
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. Internal Server Error 500 - Периодически раз в 3-5 дней

Форумы Хостинг Internal Server Error 500 - Периодически раз в 3-5 дней
894966
5 лет
хостинг: есть
домен: есть
Internal Server Error 500 - Периодически раз в 3-5 дней
Уже третий раз восстанавливаю проект из резервных копий. Техподдержка рекомендует только это, говорит у Вас повреждены файлы. Понять не могу как файлы сами повреждаются? Сайт работает с 2007 года. В данном дизайне уже два года. Изменения вносят через админ панель исключительно добавляя только статьи. Есть предположение, что сайт ломают преднамеренно. Посещаемость 1000-1500 человек в сутки. Неужели такая посещаемость интересует кого то?

После прошлого восстановления сменил все пароли: на базу данных, на ФТП, обновил Joomla с 2.5.8 до 2.5.18 (последняя 2.5 на данный момент), думал может эксплойт какой. Была надежда, что не повторится. Но вчера сайт опять упал с ошибкой Internal Server Error 500 - прошло ровно 5 дней.

Что происходит и как и где найти?
ZimbalisT
5 лет
хостинг: есть
домен: есть
Если откат из бекапом помогает, то однозначно файлы меняются. Если есть доступ в админку после падения сайта, поотключайте все дополнительные расширения и модули, чтобы остался чистый движок, и проверьте работу сайта. Если проблема исчезла, значить ее виной есть работа какого то модуля. Включайте поочередно и проверяйте работу сайта. Таким образом сможете найти проблемный модуль.
Второй вариант - сравнивать даты изменений файлов из рабочей копии и упавшего сайта. Найдя изменившиеся файлы, сравнивайте их содержимое и смотрите, что именно изменилось.
894966
5 лет
хостинг: есть
домен: есть
Спасибо за ответ. Попробую если повторится, выкачать файлы и буду сравнивать. Просто непонятно, как может начать ломаться то, что работало 2 года без единого изменения в коде. Это же не автомобиль.

Читаю логи перед атакой:
ModSecurity: Access denied with code 424 (phase 1). IPmatchFromFile "176.67.169.201" matched at REMOTE_ADDR. [file "/usr/local/apache2/conf/modsecurity/slr/modsecurity_slr_10_ip_reputation.conf"] [line "38"] [id "2200002"] [msg "SLR: Client IP in TOR Exit Nodes Blacklist."] [tag "REPUTATION/ANONYMIZER"] [hostname "baker-group.net"] [uri "/"] [unique_id "UwVlTVvOyGoABVKAvyYAAAAM"]

ModSecurity: Access denied with code 424 (phase 2). Match of "rx (http://bsalsa\\\\.com)" against "REQUEST_HEADERS:User-Agent" required. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "7316"] [id "330094"] [rev "4"] [msg "RS-2: Fake User Agent String"] [severity "CRITICAL"] [hostname "31992.proektir.web.hosting-test.net"] [uri "/forum/index.php"] [unique_id "UwWN4lvOyGoABss2NJIAAAAV"]

ModSecurity: Access denied with code 424 (phase 2). Pattern match "www\\\\.80legs\\\\.com" at REQUEST_HEADERS:User-Agent. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "7372"] [id "333514"] [rev "2"] [msg "RS-2: Bad Bot www.80legs.com"] [severity "CRITICAL"] [hostname "baker-group.net"] [uri "/contacts/2009-11-26-04-46-14/1277.html"] [unique_id "UwW7XlvOyGoACLp4tFQAAAAC"]

ModSecurity: Access denied with code 424 (phase 2). Match of "rx (?:/install/index\\\\.php|/index\\\\.php\\\\?mode=install&sub=create_table$|^/admin/test/examples/txtsqladmin/index\\\\.php|^/store/images/|^/([a-z]+/)?wp-admin/(?:admin|options-general)\\\\.php\\\\?page=wpsc-settings)" against "REQUEST_URI" required. [file "/usr/local/apache2/conf/modsecurity/asl/asl.conf"] [line "228"] [id "340157"] [rev "36"] [msg "RS-2: Generic SQL inline command protection"] [data "concat("] [severity "CRITICAL"] [hostname "baker-group.net"] [uri "/safety-for-confectionery-332/function(){var d=[];for(var b=0,a=this.length;b<a;b++){var c=typeOf(this[b]);if(c==\\"null\\"){continue;}d=d.concat((c==\\"array\\"||c==\\"collection\\"||c==\\"arguments\\"||instanceOf(this[b],Array))"] [unique_id "UwXpqlvOyGoACuDiXmoAAAAX"]

Что это? Айпи у всех разные, довольно подозрительная штука
ZimbalisT
5 лет
хостинг: есть
домен: есть
Это срабатывает система безопасности хостинга. Записи в логах "Access denied with code 424" говорят о том что она сработала, то есть диверсия не удалась. Первые три срабатывания в принципе безобидные, а вот четвертое говорит о попытке взлома админки.
894966
5 лет
хостинг: есть
домен: есть
Посмотрел логи по админке, кучи разных айпи пытались войти: нидерланды, россия, сша, с разных городов. Неужели кому-то очень нужен мой сайт? Маразм
ZimbalisT
5 лет
хостинг: есть
домен: есть
Это скорее всего боты, перебирающие доступные в интернете сайты на наличие уязвимостей. Они работают не целенаправленно, а ломают все, до чего могут дотянуться.
894966
5 лет
хостинг: есть
домен: есть
буду ждать 5 дней.
Андрей
5 лет
хостинг: нет
домен: есть
Скорее всего у Вас на сайте установлена библиотека RokCommon, которая собирает лог в файл sait.com/www./logs/rokcommon.php
Когда данный файл превышает 1GB сайт начинает отдавать 500 ошибку. Очистите содержимое файла либо установите в рнтабе задачу время от времени очищать этот файл, либо отключите логирование в данной библиотеке (если это возможно)
894966
5 лет
хостинг: есть
домен: есть
Скорее всего у Вас на сайте установлена библиотека RokCommon, которая собирает лог в файл sait.com/www./logs/rokcommon.php
Когда данный файл превышает 1GB сайт начинает отдавать 500 ошибку. Очистите содержимое файла либо установите в рнтабе задачу время от времени очищать этот файл, либо отключите логирование в данной библиотеке (если это возможно)
© Андрей

Отключил логирование. Спасибо за совет. Вполне возможно что за много лет он вырос до 1 гб. Посмотрим
Илья
5 лет
хостинг: есть
домен: есть
А почему Вы не используете защиту от взлома админки ботами, описанную в новостях: Атака на сайты Joomla и WordPress
894966
5 лет
хостинг: есть
домен: есть
А почему Вы не используете защиту от взлома админки ботами, описанную в новостях: Атака на сайты Joomla и WordPress © Илья

Использую с первого дня.
Прикрепленные файлы:
894966
5 лет
хостинг: есть
домен: есть
Сайт опять лежит. Прошло два дня. Скачиваю буду сравнивать файлы. Меня уже начинает это злить.
894966
5 лет
хостинг: есть
домен: есть
Проблема решилась надеюсь. Методом проверки файлов нашел лог, в нем писалась ошибка связанная с отсутствием одного файла в компоненте com_rokgallery

Данная ошибка писалась по строчке полтора года. В итоге файл действительно дорос до 980мб.

Все почистил. Скормил сайту этот потерянный файл. Ошибки уже не пишет. Надеюсь и падать перестанет.

Выражаю благодарность за помощь: Zimbalist и Илья
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.