Veel traffic met website zonder reden - Privacy en beveiliging

maandag 22 juni 2009 19:30

Acties:

On my way home...

Topicstarter

Beste tweakers...

In dit subforum post ik niet geregeld, maar nu heb ik toch een vraag. Ik hoop dat jullie mij kunnen helpen met tips en trucs.

Mijn collega heeft een website geregistreerd samen met een vriend waarmee ze een bedrijfje runnen in EHBO en reanimatielessen. Al met al niets bijzonders, maar sinds enige weken wordt er nogal wat traffic gegenereerd die niet verklaard kan worden. Tevens krijgen ze diverse hits uit verre landen (Polen, Rusland etc).

Het betreft hier de site http://www.peterenrene.nl
E.e.a. is gehost bij budget webhosting.

Nu ben ik redelijk thuis in gewoon computerwerk, maar niet in het bouwen/bijhouden van websites. Als ik de code even bekijk dan zie ik eigenlijk geen vreemde dingen, maar ik denk dat het probleem dieper ligt. De website bevat geen bandbreedte-verslindende content zoals filmpjes of foto's. Ik denk - met al mijn gebrek aan terzakedoende kennis - dat er via zijn account wellicht andere software draait. (Bot? Spider?)
De hoster kwam met het advies om iets te gaan doen met hotlink beveiliging etc... Ik kan me niet indenken dat hier het probleem ligt.

Nu weet ik dat dit een karig topic is omdat ik niet zelf de site heb gemaakt en ook geen toegang heb tot de hoster, maar ik hoop toch dat iemand hier een aantal praktische tips heeft. Ik heb namelijk erg het gevoel dat er een deur openstaat voor mensen met slechte bedoelingen.

Iemand enig idee of algemene tips om dit te kunnen staven. (Zijn er scanners voor websites zoals je virusscanners hebt voor computers?)

Op voorhand bedankt voor het lezen van dit verhaal. Mochten er problemen zijn met dit topic of meer behoefte aan info dan hoor ik dat graag.

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

maandag 22 juni 2009 19:32

Acties:

Mayco

Kijk eens in de access.log welke bestanden er opgevraagd worden?

maandag 22 juni 2009 19:35

Acties:

DutchTSE

Je kunt via FTP op zoek gaan naar grote bestanden in mappen (of map in map in map).
Misschien een lek emailscript op de website?
Het probleem kan ook op server niveau liggen. Mogelijk dat de server is gehacked en er bestanden onder het betreffende domein zijn geplaatst.

Weet niet of er een controle paneel aanwezig is? Via bijvoorbeeld DirectAdmin kun je bekijken welk deel (web of email) het dataverkeer genereert. En de accesslogs en error logs inderdaad even doorkijken

Hulp van je hoster met het doorzoeken van je account kan je veel tijd besparen (laat hem een commando uitvoeren waarmee alle bestanden groter dan 5 MB getoont worden bijvoorbeeld).

[ Voor 4% gewijzigd door DutchTSE op 22-06-2009 19:35 ]

maandag 22 juni 2009 19:38

Acties:

SinergyX

____(>^^(>0o)>____

Ik zie dat je joomla draait, heb je wel altijd netjes joomla gepatched? Is laatste tijd vaak slachtoffer geweest van security gaten en als je die niet dicht komen ze vanzelf

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 22 juni 2009 21:50

Acties:

JvW

On my way home...

Topicstarter

Ok.... Alvast bedankt voor de tips. Blijkbaar waren mijn gedachten niet zo gek. Aangezien ik geen toegang heb tot de account en ook niet de site heb gemaakt heb ik deze info doorgespeeld. Zo kan hij weer even vooruit.
(Al heb ik het idee dat ik er nog wel meer van zal horen... Ik weet ook weer precies waarom ik ben gestopt met het regelen van andermans computer-troubles...)

Anyway laat ik jullie wel weten hoe het afloopt. Wellicht handig voor de generaties na ons.

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

dinsdag 23 juni 2009 12:48

Acties:

Robert

You have your answer..

Als je toegang tot webalizer hebt (bij veel hosters aanwezig) of zelf kan installeren (als je toegang hebt tot de apache logfiles) kun je heel simpel zien welke referrers er zijn, en welke bestanden voor het meeste dataverkeer zorgen.

Just 'cause I'm paranoid doesn't mean they're not after me | The only operating system that does what you want: LFS

zaterdag 27 juni 2009 21:54

Acties:

JvW

On my way home...

Topicstarter

Hmmm... De persoon die de site heeft gemaakt zit ergens in de jungle op vakantie, dus ik heb de inloggegevens gekregen. Als ik bij de logs kijk zie ik dat er heel veel bezoekers zijn die langskomen om het gastenboek te tekenen. Een gastenboek wat op de site niet eens in gebruik is, maar klaarblijkelijk wel in de code is verwerkt. Is dit iets wat bij Joomla hoort?
Als ik de link volg kom ik ook daadwerkelijk op het gastenboek waarin ondertussen meer dan 900000 berichten staan. De meesten gaan niet verder dan:

CU webmaster
Keep up the good work

Of meldingen van die strekking. Sommige berichten zijn heel cryptisch en voornamelijk een opsomming van http links.
De posters hebben bijna allemaal de naam van een geneesmiddel en in de diverse links zie ook ook heel veel sjofele pillen-verkopende sites.

In de tijd dat ik nog wel eens een website maakte was dat niet veel meer dan wat kale html met een formuliertje erin. Zoiets als dit heb ik nog nooit gemaakt, en ik weet dus ook niet goed waar te beginnen.

Ik ga nu even kijken of er ook ergens grotere bestanden staan...

Mocht iemand alvast tips hebben dan houd ik me aanbevolen.

Edit:
Ik heb inderdaad de beschikking over webalizer. Dat geeft een enorme hoop aan informatie. Ik zie dat er heel veel bezoekers zijn die er logischerwijs niet horen, maar ik kan niet zien wat ze precies doen. Sommigen verbruiken meer dan 150MB aan traffic (

), echter zie ik niet hoe ze dat dan doen. Het is dan wel weer duidelijk dat het een probleem is.

Terinfo overigens... Ik heb mijn vriend en collega geadviseerd om zijn plekje op de digitale snelweg toch maar te laten verzorgen door een terzakekundig persoon. Al ga ik wel even kijken of ik de lont nu uit de bom kan trekken. Hij heeft al gezegd dat de hele site down mag, dus ik kan ff rommelen.

[ Voor 22% gewijzigd door JvW op 27-06-2009 22:06 . Reden: toevoeging ]

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

zaterdag 27 juni 2009 22:03

Acties:

japaveh

Jield BV

Dat zijn dus items van spammers die het gastenboek gevonden hebben terwijl het niet in gebruik is. Deze behoorlijke hoeveelheid berichten kan al wel (een deel van) de traffic verklaren. Ik zou het gastenboek gewoon volledig verwijderen in plaats van disabelen, al ken ik niet genoeg van Joomla om te weten hoe dat precies moet. Verwijder gewoon de relevante files van de webserver of plaats ze achter een .htaccess

Een andere tip, en dat is natuurlijk meer voor de toekomst, zorg gewoon altijd dat je Joomla goed gepatched is. De kan is groot dat het bewuste gastenboek inderdaad nog van een oudere versie van Joomla is.

Solo Database: Online electronic logbook and database system for research applications

zaterdag 27 juni 2009 22:13

Acties:

JvW

On my way home...

Topicstarter

Ja, dat was ik ook van plan. Ik ken joomla niet, en hoe ik het hiervandaan kan updaten heb ik nog niet uitgevogeld. Er is een item in de configuratie die heet Fantastico waarin diverse items staan die je zou kunnen managen. Hier staat ook joomla en joomla 1.5 in, maar het systeem meldt dat die niet zijn geinstalleerd.

Overigens heb ik bij de webalizer wel gevonden dat het overgrote deel van de traffic wordt gegenereerd door een PHP-script:

code:

1	Dynamic PHP Script file 24659 97.2 % 759.15 MB 99.1 %

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

zaterdag 27 juni 2009 22:24

Acties:

Verwijderd

MediJack schreef op zaterdag 27 juni 2009 @ 22:13:
Ja, dat was ik ook van plan. Ik ken joomla niet, en hoe ik het hiervandaan kan updaten heb ik nog niet uitgevogeld. Er is een item in de configuratie die heet Fantastico waarin diverse items staan die je zou kunnen managen. Hier staat ook joomla en joomla 1.5 in, maar het systeem meldt dat die niet zijn geinstalleerd.
...

Die Fantastico kan allemaal CMS'en en scripts automatisch installeren, maar blijkbaar hebben zij gekozen om joomla manueel te installeren en kan je dus niet eenvoudig updaten met Fantastico. Hoe je moet updaten zal wel ergens staan op de site van joomla en misschien zelfs in het menu ergens. Daar zou ook wel een optie moeten zijn om delen zoals het gastenboek te verwijderen, hoewel ik joomla nooit echt gebruikt heb.

zaterdag 27 juni 2009 22:33

Acties:

JvW

On my way home...

Topicstarter

Ah.. Ik heb in elk geval het gastenboek gevonden, dus dat gaat eruit. Fysiek deleten. Kijken of dat scheelt.

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

zaterdag 27 juni 2009 23:03

Acties:

Turdie

Hier kun je patches vinden voor Joomla

Patches Joomla.

Hier vindt je een handleiding hoe je moet upgraden. Upgraden Joomla

Ik zou ermee oppassen om het gastenboek "fysiek" te deleten, zonder de documentatie hebt doorgelezen. De kans bestaat dat je daarmee het hele pakket om zeep helpt.Het is een modulair iets wat intern allerlei relaties heeft.

[ Voor 53% gewijzigd door Turdie op 27-06-2009 23:07 ]

zondag 28 juni 2009 00:06

Acties:

JvW

On my way home...

Topicstarter

Bedankt voor de tips en de links. Ik had de folder "easybook" al in de trashcan gegooid. Het gastenboek geeft nu een 404. Helaas is nu dan ook de bandwith limit overschreden, dus de gewonen index geeft ook geen sjoege. Dat geeft op zich niet en we wachten nu even af om te zien wat er verder gebeurt.

We gaan overigens zeker joomla patchen, maar daarnaast vind ik ook dat hij zijn site moet laten managen door iemand met kennis van zaken.

Ik zal in juli nog even terugkoppelen of bovenstaande akties het probleem hebben verholpen.

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

zondag 28 juni 2009 01:22

Acties:

Turdie

MediJack schreef op zondag 28 juni 2009 @ 00:06:
Bedankt voor de tips en de links. Ik had de folder "easybook" al in de trashcan gegooid. Het gastenboek geeft nu een 404. Helaas is nu dan ook de bandwith limit overschreden, dus de gewonen index geeft ook geen sjoege. Dat geeft op zich niet en we wachten nu even af om te zien wat er verder gebeurt.

We gaan overigens zeker joomla patchen, maar daarnaast vind ik ook dat hij zijn site moet laten managen door iemand met kennis van zaken.

Ik zal in juli nog even terugkoppelen of bovenstaande akties het probleem hebben verholpen.

Ik hoop voor jullie dat dit een hobby-site is, en niet een site van een klant o.i.d, als zit je echt in de nesten.
Misschien kun je nog in de logs de ip-adressen/netwerk ranges van die spammers achterhalen, en die gewoon voor de hele site blokkeren middels ip bans modules o.i.d in Joomla. Zie ook hier
Ban IP Address/Range for 1.5 Plugin

Edit
Ze zullen waarschijnlijk wel fake adresssen gebruiken, maar toch. Ik denk dat de ISP ook wat kan betekenen in het helpen deze spammers te weren. Aangezien dit server software is, zouden mensen in WSS dit misschien ook wel weten, het zou dan in Apache gedaan moeten worden denk ik.

[ Voor 11% gewijzigd door Turdie op 28-06-2009 01:26 ]

dinsdag 30 juni 2009 00:23

Acties:

JvW

On my way home...

Topicstarter

De site is van een collega en vriend van me die naast zijn werk een bedrijfje heeft in het geven van diverse trainingen in levensreddende handelingen. Reanimatie, AED training, BHV etc. etc. De site voegt hoegenaamd niets toe omdat het enerzijds erg kleinschalig is en anderzijds omdat hij zijn klanten ook niet werft via de site (hij krijgt hoogstens enkele tientallen hits per maand als hij zijn eigen bezoekjes niet meetelt). Dus tot op zekere hoogte is het een hobby-site, al kom je niet echt professioneel over als je site halverwege de maand al een "maximum bandwith exceeded"-error geeft.

Er is dus geen man overboord, en de site mag ook helemaal down in afwachting van een wat betere versie die wat beter wordt gemaakt en onderhouden.

@shadowman12
De ip's zijn bijna allemaal verschillend. Je kunt ze inderdaad wel bannen, maar dat wordt en enorme opgave. Wellicht loont het de moeite om wat abuse@de-desbetreffende-provider.com mailtjes te sturen. Maar in de eerste plaats moet er gezorgd worden voor een beter beveiligde site

Ik vind het trouwens moeilijk voorstelbaar dat berichten in een dergelijk gastenboek zoveel traffic kunnen genereren. Er waren ongeveer een miljoen berichten geplaatst sinds half mei, en daarmee hebben ze in elk geval in juni 1 gigabyte aan traffic gegenereerd. En dan snap ik de motivatie al helemaal niet. Waarom gaan mensen op zoek naar een gastenboek op een kleine website die niet eens direct toegankelijk is. Tenminste niet via de site. Waar zit de winst in deze toestand? En vanzelfsprekend wordt het gastenboek niet door talloze mensen gezocht en gevonden dus ergens worden er links geplaatst naar het gastenboek, anders kan ik niet verklaren dat er zoveel mensen langskomen. Ik kan inzien waarvandaan de bezoekers zijn gekomen, maar als ik zelf die sites probeer te bezoeken krijg ik doorgaans 404-errors.

In elk geval is het nu even wachten tot juli. Ik ben benieuwd of het verwijderen van het gastenboek alle ellende laat stoppen.

[ Voor 2% gewijzigd door JvW op 30-06-2009 00:24 . Reden: correctie ]

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

dinsdag 30 juni 2009 00:28

Acties:

ThinkPad

Het zijn ook geen mensen die dat doen. Het zijn gewoon scripts die op (geinfecteerde) PC's lopen en zo 24/7 zoeken naar gastenboeken e.d. en die helemaal volspammen.