Surcharge du serveur

[misfu]

Bonjour,

Voilà je suis bien embêté car j'ai reçu ce matin cet email de mon hébergeur :

En effet, si votre site
n'était pas accessible, c'est parce que vous avez réussi a me planter un
serveur en l'explosant en charge (plus de 100, on est pas loin du record,
normalement il devrai etre entre 1 et 2 de charge). Actuellement votre site
est carrément bloqué pour que nos serveurs respirent.

Nous avons en effet clairement identifié que votre site posait un problème,
les pages appelées restant en état "working". A croire que vous avez mis des
fichiers très lourds en téléchargement.

Afin de vous aider a trouver le problème, je vous ai mis le log d'aujourd'hui
sur votre ftp pour que vous puissiez voir quels sont les requetes qui ont été
faites...

Le problème c'est que je n'arrive pas à trouver l'erreur avec le fichier de log (
vous pouvez le consulter ici)
Comme hier soir tout allait bien et que je n'ai procéder à aucune modification je ne comprend pas trop le problème...
N'ayant pas le site en local, et n'ayant pas accès au serveur web de l'hebergeur je ne sais pas trop comment procéder donc si une bonne âme pouvait m'aider ca serait vraiment simpa

[misfu]

61 lectures et toujours aucune réponses
Après étude un peu plus approfondie, j'ai remarqué qu'a la fin du fichier de log l'ip 41.205.4.142 essaye de faire plusieurs fois le même téléchargement.
Cette ip provient du cameroun et je sais pas si elle peut avoir un lien mais bon je poste on sais jamais.
Sinon j'aimerai savoir si j'était pas victime tous simplement d'un ddos (deny of service) ce qui pourrait expliquer la surcharge du serveur.

[julienr]

il semblerait que les soucis de ton hébergeur est commencé là

Code: Tout sélectionner

41.205.4.142 - - [26/Mar/2007:13:11:41 +0200] "GET /Telechargement/EXCELCondition.zip HTTP/1.1" 206 130378 "http://www.misfu.com/download.php?dcategory=Bureautique&sortby=" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
13095     
41.205.4.142 - - [26/Mar/2007:13:11:41 +0200] "GET /Telechargement/Excel97_Init.zip HTTP/1.1" 206 130373 "http://www.misfu.com/download.php?dcategory=Bureautique&sortby=" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"

cette ip n'a jamais réussi à télécharger quoi que soit (code retour 206) en réessayant plein de fois jusqu'à obtenir 403
à croire que les multiples requêtes du client est bloqué tous les process apache ?!

[misfu]

Je vais poster ca à mon hebergeur pour savoir ce qu'il en pense.
Merci en tous cas

[julienr]

Avant cela, tu l'as codé comment ta page download et combien font les zip en question ?

Code: Tout sélectionner

http://www.misfu.com/download.php?dcategory=Bureautique&sortby=

[arnaudmn]

Après étude un peu plus approfondie, j'ai remarqué qu'a la fin du fichier de log l'ip 41.205.4.142 essaye de faire plusieurs fois le même téléchargement.
Cette ip provient du cameroun et je sais pas si elle peut avoir un lien mais bon je poste on sais jamais.

Pour mettre à genoux un serveur, faudrait qu'il y ai plusieurs tentative de chargement en même temps. Ce qui ne semble pas être le cas.
Sinon, pour tester si ça vient de ça, tu as qu'a mettre cette ip dans ton htaccess pour la filtrer. On sait jamais, s'il revenait.

[misfu]

Le whois de l'adresse ne donne rien :
http://www.dnsstuff.com/tools/whois.ch?ip=41.205.4.142
et l'adresse donné : 3278 Boulevard de la Republique. Douala, Cameroon
après recherche semble être un fake...
voir ici on peut constater que l'adresse du site web ne donne rien.
Je vais bloqué l'adresse par précaution, mais moi aussi ca me paraît suspect qu'une seule adresse puisse faire bloquer tous le serveur.
Sinon les fichiers en téléchargement ne sont pas volumineux (maximum de 50meg)
et il y a environs 1giga de téléchargement par jour sur le site sans que ca pose de problèmes d'habitude d'ou ma non compréhension du problème.
J'ai également pensé à un hack mais dans mes logs de sécurité rien de suspect et sur mes fichiers à risque j'ai rechercher la présence d'une fonction de type "eval" pour vérifier si il n'y avait pas une injection de code PHP mais rien non plus de ce côté la...

[misfu]

bon toujours aucune info...
Le dernier email de mon hebergeur est celui-ci :

D'après les informations que j'ai trouvé suite à vos recherches, il semble que
le code 206 soit un code correspondant a un téléchargement partiel.

Vu que l'origine de la demande est le cameroun, je suppose un problème de
téléchargement sur de fichiers depuis une ligne a faible débit (modem rtc
comme c'est souvent le cas en afrique).

J'avoue que le problème est assez étrange et je n'arrive pas a le cerner car
il est inédit, nous ne l'avons jamais rencontré sur nos serveurs.

Je viens de réactiver votre site, mais bizarement je n'arrive pas a acceder a
la page d'accueil qui semble tourner en rond, alors que les serveurs sont au
top et génère les pages presque instantanément.

Je vous invite donc a vérifier les appels fait par cette page, notament au
niveau base de données, pour y déceler un problème.

Après vérification sur ma base de données, rien de changé donc je sais plus quoi faire la...

[ACth]

Après vérification sur ma base de données, rien de changé donc je sais plus quoi faire la...

Tu utilise un CMS ?

Tu as créer toi même le site ?

Il vient d'être mis en ligne ?

Le problème à été rencontré immédiatement ? (combien de temps après ? après quel changement ?)

As tu essayé de restaurer une sauvegarde dès constatation du problème ?

[misfu]

Tu utilise un CMS ?

Oui npds.org j'ai poster un message ici :
http://www.npds.org/viewtopic.php?topic=22121&forum=1
mais tjs aucune réponse...

Il vient d'être mis en ligne ?

Ca fait trois ans et aucun problème jusque la

Le problème à été rencontré immédiatement ? (combien de temps après ? après quel changement ?)

Ma dernière connection sur le site (lorsqu'il fonctionnait) remonte à environs 1h du matin hier soir.
Aucun changement n'a été effectué lors de cette connection.

As tu essayé de restaurer une sauvegarde dès constatation du problème ?

Malheureusement la dernière sauvegarde date un peu, du coup je suis en train de télécharger le site pour essayer de voir en local ce qui ne va pas.

[ACth]

Une page piratée qui tourne en boucle ?

[misfu]

Bin le problème c'est que lorsque je test une autre page que la page d'accueil, c'est le même problème.
En revanche les pages html comme :
http://www.misfu.com/static/Javascript/ ... cript.html
fonctionnent très bien...

[julienr]

est-ce que tu arriverais à placer un fichier phpinfo.php dans la racine de ton serveur avec comme code uniquement ceci :

Code: Tout sélectionner

<?php
phpinfo();
?>


qu'on puisse savoir ce que bidouille ton hébergeur

[misfu]

Voilà, le fichier est en place merci

[julienr]

rien d'anormal, est-ce que tu arrives à te connecter à ton mysql via le phpmyadmin de ton hébergeur ?