Forum PHPBB attaqué - Multiples invités

Pour discuter de phpBB3 - Pas de support sur cette section !
Pour du support veuillez vous rendre sur la section de support

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Attention, aucun support n'est donné dans cette section.

Forum PHPBB attaqué - Multiples invités

Messagepar Beaware » 30 Oct 2018 à 21:31

Bonjour à tous,

Mon forum se trouve saturé par un grand nombre de connexions : parfois jusqu’à 500 invités. Cela se traduit par des gros ralentissement, et même des black out total avec un message d'erreur pour tous les utilisateurs régulier :

Code: Tout sélectionner
General Error
SQL ERROR [ mysqli ]

User teamgtrfjsgtr3 already has more than 'max_user_connections' active connections [1203]

An sql error occurred while fetching this page. Please contact an administrator if this problem persists.


Mon forum : http://www.team-gtr3.fr/index.php

Actuellement les stats me marque 470 invités en ligne, toutes des IP différentes mais avec la même terminaison de mail : ipas@cnnic.cn

Je ne sais pas trop comment me dépatouiller de cette situation.

Merci (j'espère que je suis dans la bonne section).

Stéphane

Edit :

J'ai tenté de bloquer via le fichier .Htaccess, l'accès des adresses IP qui comptait le début de cet IP : 220.243

Avec ce code
Code: Tout sélectionner
Order Allow,Deny
Allow from all
Deny from 220.243


Code: Tout sélectionner
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '220.243.0.0 - 220.243.255.255'

% Abuse contact for '220.243.0.0 - 220.243.255.255' is 'ipas@cnnic.cn'

inetnum:        220.243.0.0 - 220.243.255.255
netname:        CHINANETCENTER
descr:          ChinaNetCenter Ltd.
admin-c:        ZM1723-AP
tech-c:         ZM1723-AP
country:        CN
mnt-by:         MAINT-CNNIC-AP
mnt-irt:        IRT-CNNIC-CN
status:         ALLOCATED PORTABLE
last-modified:  2016-11-01T06:12:03Z
source:         APNIC

irt:            IRT-CNNIC-CN
address:        Beijing, China
e-mail:         ipas@cnnic.cn
abuse-mailbox:  ipas@cnnic.cn
admin-c:        IP50-AP
tech-c:         IP50-AP
auth:           # Filtered
remarks:        Please note that CNNIC is not an ISP and is not
remarks:        empowered to investigate complaints of network abuse.
remarks:        Please contact the tech-c or admin-c of the network.
mnt-by:         MAINT-CNNIC-AP
last-modified:  2017-11-01T08:57:39Z
source:         APNIC

person:         Zhong Xing
address:        4G Guomen Building, Sanyuan Bridge Dongsanhuan, Beijing
country:        CN
phone:          +86-010-84519900
e-mail:         zhongx@wangsu.com
nic-hdl:        ZM1723-AP
mnt-by:         MAINT-CNNIC-AP
last-modified:  2018-02-08T03:47:19Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.15-46 (WHOIS-UK4)


Hélas je vois à nouveaux d'autres invités arriver avec une autre adresse :

Code: Tout sélectionner
% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '54.222.0.0 - 54.223.255.255'

% Abuse contact for '54.222.0.0 - 54.223.255.255' is 'ipas@cnnic.cn'

inetnum:        54.222.0.0 - 54.223.255.255
netname:        SINNET
descr:          Beijing Guanghuan Xinwang Digital Technology co.Ltd
descr:          2A-2F,Tower A,East Gate Plaza,NO.9 Dong Zhong Street,
descr:          Dong Cheng Dstrict,Beijing
admin-c:        CH471-AP
tech-c:         WH271-AP
country:        CN
mnt-by:         MAINT-CNNIC-AP
mnt-lower:      MAINT-CNNIC-AP
mnt-irt:        IRT-CNNIC-CN
status:         ALLOCATED PORTABLE
last-modified:  2015-05-26T07:30:01Z
source:         APNIC

irt:            IRT-CNNIC-CN
address:        Beijing, China
e-mail:         ipas@cnnic.cn
abuse-mailbox:  ipas@cnnic.cn
admin-c:        IP50-AP
tech-c:         IP50-AP
auth:           # Filtered
remarks:        Please note that CNNIC is not an ISP and is not
remarks:        empowered to investigate complaints of network abuse.
remarks:        Please contact the tech-c or admin-c of the network.
mnt-by:         MAINT-CNNIC-AP
last-modified:  2017-11-01T08:57:39Z
source:         APNIC

person:         Chen hao
nic-hdl:        CH471-AP
e-mail:         lichao@sinnet.com.cn
address:        Langfang university Langfang Development Area
phone:          +86-13311166160
country:        CN
mnt-by:         MAINT-CNNIC-AP
last-modified:  2008-09-04T07:29:22Z
source:         APNIC

person:         Wang Huijun
nic-hdl:        WH271-AP
e-mail:         chenbincb@sinnet.com.cn
address:        Langfang university Langfang Development Area
phone:          +86-13311166160
fax-no:         +86-64181819
country:        CN
mnt-by:         MAINT-CNNIC-AP
last-modified:  2008-09-04T07:29:22Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.15-46 (WHOIS-UK4)
Image
Avatar de l’utilisateur
Beaware
Posteur habitué
Posteur habitué
 
Messages: 213
Enregistré le: 07 Nov 2015 à 20:43
Localisation: Vendée

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Jester » 31 Oct 2018 à 11:09

Bonjour,

ça arrive, la plupart du temps ce sont des bots. Ca a l'air d'être mieux ce matin. Les blocages ont eu leur effet ?
"Quand le Troll parle, l'homme avisé l'écoute."
Personnaliser son forum - La documentation de phpBB-fr.com - Les téléchargements
N'oubliez pas de modifier votre message en ajoutant le tag [Réglé] quand votre sujet est résolu.
Avatar de l’utilisateur
Jester
Administrateur
Administrateur
 
Messages: 34837
Enregistré le: 01 Jan 2005 à 01:00
Localisation: Là, pas loin...

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Beaware » 31 Oct 2018 à 11:40

Oui ça à l'air mieux. J'ai reçu un courriel confirmant sans doute les attaques :

Dear Sir or Madam,

Regarding registration of your company name team-gtr3, hereby send the confirmation letter, please read it carefully.

We are an agency engaging in registering brand name and domain names. Today, Our center received an application from Evilc Holdings ltd and they apply to register team-gtr3 as their brand name and some top-level domain names(.CN/.HK Etc). We found the main body of domain names is same as your company name. I am not sure about the relationship between you and them. Please tell me whether or not your company authorizes them to register names.

We are dealing with the application and we need to confirm whether you have authorized them? If you don't authorize them, please reply me an e-mail. Looking forward to your reply.

Best regards,

Kevin Wu
Image
Avatar de l’utilisateur
Beaware
Posteur habitué
Posteur habitué
 
Messages: 213
Enregistré le: 07 Nov 2015 à 20:43
Localisation: Vendée

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Jester » 31 Oct 2018 à 12:15

Hum, méfiance avec ce mail. Me semble pas être un truc "propre". Si aucun rapport avec l'hébergeur du forum, à zapper.
"Quand le Troll parle, l'homme avisé l'écoute."
Personnaliser son forum - La documentation de phpBB-fr.com - Les téléchargements
N'oubliez pas de modifier votre message en ajoutant le tag [Réglé] quand votre sujet est résolu.
Avatar de l’utilisateur
Jester
Administrateur
Administrateur
 
Messages: 34837
Enregistré le: 01 Jan 2005 à 01:00
Localisation: Là, pas loin...

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Bluraydefectueux » 31 Oct 2018 à 12:58

Même problème depuis plusieurs semaines et de manière graduelle en provenance de Chine, au départ c'était quelques uns, puis la semaine d'après 10 et hier c'était plusieurs dizaines. Ils arrivent tous en même temps et repartent de la même façon.

J'ai utilisé le bannissement sur les deux plages repérées et depuis plus rien, si ce n'est 1 spam/bot de chaque plage qui ne vient que sur la page de contact (qui j'imagine restent accessible à tous, pour conserver un lien avec l'administration?) et repartent aussi vite.

Etant sur un mutualisé j'avais peur d'un dépassement de ressource et d'une coupure de service.
Bluraydefectueux
Posteur néophyte
Posteur néophyte
 
Messages: 19
Enregistré le: 21 Juin 2016 à 14:44

Re: Forum PHPBB attaqué - Multiples invités

Messagepar cocooncrash » 31 Oct 2018 à 17:14

Merci de ne pas polluer le sujet d'un autre bluraydefectueux!
decouvrez l'aide complete : ICI
découvrez les règles : La_bas

Pensez a ajouter le tag [réglé] en modifiant votre premier message s'il est résolu. Merci :wink:
Avatar de l’utilisateur
cocooncrash
Resp. des modérateurs
Resp. des modérateurs
 
Messages: 7896
Enregistré le: 07 Jan 2008 à 09:29
Localisation: dans un bocal en compagnie de nemo!!

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Beaware » 31 Oct 2018 à 20:14

Bonsoir,

Malheureusement les attaques continuent :evil: . J'avais rajouté ceci hier soir :

Code: Tout sélectionner
<IfModule mod_rewrite.c>
RewriteEngine on
Order Allow,Deny
Allow from all
Deny from 52.80
Deny from 52.81
Deny from 52.82
Deny from 52.83
Deny from 54.223
Deny from 54.222
Deny from 220.243


Maintenant nouvelle plage d'adresse IP :

% Abuse contact for '139.217.0.0 - 139.217.255.255' is 'customerservice@oe.21vianet.com


Je ne pense pas que je vais pouvoir bloquer éternellement, à la fin je ne laisserai plus rien passer.

N'y aurai t'il pas moyen de bloquer les nom de domaine, en l’occurrence ici : oe.21vianet.com ?

Il y a une commande pour ça ?

Ils en veulent vraiment à notre nom de domaine Team GTR3, mais c'est mal me connaitre, je ne lâcherai rien :wink:
Image
Avatar de l’utilisateur
Beaware
Posteur habitué
Posteur habitué
 
Messages: 213
Enregistré le: 07 Nov 2015 à 20:43
Localisation: Vendée

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Loran42 » 01 Nov 2018 à 00:05

Exactement le même soucis sur mon forum.

J'ai bloqué ces plages dans mon htaccess, je suis tranquille depuis 48h

Code: Tout sélectionner
Deny from 220.243.
Deny from 52.83.
Deny from 52.81.
Deny from 52.80.
Deny from 54.222.
Deny from 54.223.
Deny from 139.217.
Deny from 139.219.
Loran42
Apprenti-posteur
Apprenti-posteur
 
Messages: 197
Enregistré le: 01 Avr 2011 à 16:57

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Jester » 01 Nov 2018 à 00:13

Yep. Faut bloquer les plages d'IP correspondantes. Sinon les pays carrément (par exemple Russie, Chine...).

Plus d'infos ici, entre autres : https://forum.alsacreations.com/topic-1 ... ccess.html
"Quand le Troll parle, l'homme avisé l'écoute."
Personnaliser son forum - La documentation de phpBB-fr.com - Les téléchargements
N'oubliez pas de modifier votre message en ajoutant le tag [Réglé] quand votre sujet est résolu.
Avatar de l’utilisateur
Jester
Administrateur
Administrateur
 
Messages: 34837
Enregistré le: 01 Jan 2005 à 01:00
Localisation: Là, pas loin...

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Beaware » 01 Nov 2018 à 00:43

Merci pour les infos, mais j'ai du mal à trouver un site qui explique la syntaxe et l'emplacement de ces lignes.

Pour l'instant je les ai mis tout en haut de mon fichier .htaccess :

Code: Tout sélectionner
<IfModule mod_rewrite.c>
RewriteEngine on

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
Deny from env=BlockCountry

Order Allow,Deny
Allow from all
Deny from 139.217
Deny from 52.80
Deny from 52.81
Deny from 52.82
Deny from 52.83
Deny from 54.223
Deny from 54.222
Deny from 139.219.0.0/139.219.255.255
#
# Uncomment the statement below if URL rewriting doesn't
# work properly. If you installed phpBB in a subdirectory
# of your site, properly set the argument for the statement.
# e.g.: if your domain is test.com and you installed phpBB
# in http://www.test.com/phpBB/index.php you have to set
# the statement RewriteBase /phpBB/
#
#RewriteBase /

#
# Uncomment the statement below if you want to make use of
# HTTP authentication and it does not already work.
# This could be required if you are for example using PHP via Apache CGI.
#
#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

#
...
.....
....
...
</IfModule>
DirectoryIndex portal.php index.php index.html index.htm


Est ce correcte ?
Image
Avatar de l’utilisateur
Beaware
Posteur habitué
Posteur habitué
 
Messages: 213
Enregistré le: 07 Nov 2015 à 20:43
Localisation: Vendée

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Skouat » 01 Nov 2018 à 11:07

Hello,

Vu le Captcha en place sur le forum, ce dernier a dû être référencé dans une BDD de bot, d'où les multiples connexions.
Il faut donc penser également à changer le captcha pour espérer ne plus être autant sollicité.
Skouat
Traducteur
Traducteur
 
Messages: 13968
Enregistré le: 02 Avr 2008 à 20:47

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Beaware » 01 Nov 2018 à 11:15

Bonjour Skouat,

Je ne comprend pas, le Captcha change bien à chaque nouvelle inscription. De plus dans mon cas il s'agit de bot invité, aucune inscription de leur part sur le forum.
Image
Avatar de l’utilisateur
Beaware
Posteur habitué
Posteur habitué
 
Messages: 213
Enregistré le: 07 Nov 2015 à 20:43
Localisation: Vendée

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Jester » 01 Nov 2018 à 11:45

SI vous n'avez pas de membres ou lecteurs venant de Chine, moi je bloquerai carrément les connexions venant de ce pays. Ca bloquera pas mal des soucis rencontrés actuellement par votre forum. Car ce sont des bots non enregistrés et venant de Chine apparemment.
"Quand le Troll parle, l'homme avisé l'écoute."
Personnaliser son forum - La documentation de phpBB-fr.com - Les téléchargements
N'oubliez pas de modifier votre message en ajoutant le tag [Réglé] quand votre sujet est résolu.
Avatar de l’utilisateur
Jester
Administrateur
Administrateur
 
Messages: 34837
Enregistré le: 01 Jan 2005 à 01:00
Localisation: Là, pas loin...

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Beaware » 01 Nov 2018 à 12:10

Merci pour la réponse Jester, mais comment organiser le code dans le fichier .htaccess ?
Image
Avatar de l’utilisateur
Beaware
Posteur habitué
Posteur habitué
 
Messages: 213
Enregistré le: 07 Nov 2015 à 20:43
Localisation: Vendée

Re: Forum PHPBB attaqué - Multiples invités

Messagepar Loran42 » 01 Nov 2018 à 12:42

Essai

Code: Tout sélectionner
SetEnvIf GEOIP_COUNTRY_CODE CH BlockCountry
Loran42
Apprenti-posteur
Apprenti-posteur
 
Messages: 197
Enregistré le: 01 Avr 2011 à 16:57

Suivante

Retourner vers Discussions sur phpBB3

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 3 invités