Problemas / Ataque con Cron.php?

[neolite]

Hola a todos,

Hace un tiempo que mi foro esta con problemas de "Too Many Conections", "Server Capacity", etc., generando problemas con el hosting (es de pago).

Tratando de revisar de que se pueda tratar, note que el cron llamaba al autobackup, por lo que procedí a desinstalar, pues no lo uso.

Me documenté, en este tema: http://www.phpbb-es.com/foro/soporte-ph ... 38193.html

Este, es un extracto del error log que me hizo llegar el hosting:

Código: Seleccionar todo

[Mon May 13 12:43:48 2013] [error] [client 201.236.16.104] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/viewtopic.php?f=28&t=4826
[Mon May 13 12:44:13 2013] [error] [client 190.208.237.236] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/viewtopic.php?f=41&t=4824
[Mon May 13 12:44:20 2013] [error] [client 201.236.16.104] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/search.php?search_id=unreadposts
[Mon May 13 12:44:52 2013] [error] [client 163.247.80.19] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/search.php?search_id=unreadposts
[Mon May 13 12:44:59 2013] [error] [client 186.67.73.242] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://pescadictos.cl/search.php?search_id=newposts
[Mon May 13 12:45:01 2013] [error] [client 163.247.80.19] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/index.php
[Mon May 13 12:45:10 2013] [error] [client 186.67.73.242] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://pescadictos.cl/viewtopic.php?f=34&t=4801
[Mon May 13 12:45:40 2013] [error] [client 190.208.237.236] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/viewtopic.php?f=41&t=4824&p=89059
[Mon May 13 12:45:41 2013] [error] [client 201.236.16.104] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/search.php?search_id=unreadposts
[Mon May 13 12:45:51 2013] [error] [client 201.236.16.104] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/viewtopic.php?f=41&t=4824
[Mon May 13 12:46:27 2013] [error] [client 201.236.16.104] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/ucp.php?i=pm&mode=compose&action=quotepost&p=89030
[Mon May 13 12:46:28 2013] [error] [client 201.236.16.104] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://www.pescadictos.cl/ucp.php?i=pm&mode=compose&action=quotepost&p=89030
[Mon May 13 12:46:28 2013] [error] [client 186.67.73.242] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://pescadictos.cl/viewtopic.php?f=34&t=4801&start=20
[Mon May 13 12:46:39 2013] [error] [client 186.67.73.242] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://pescadictos.cl/search.php?search_id=newposts
[Mon May 13 12:46:54 2013] [error] [client 186.67.73.242] PHP Parse error:  syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215, referer: http://pescadictos.cl/viewtopic.php?f=47&t=4798&start=20

Y note que las llamadas a cron.php son "normales", dado que cada vez que un usuario visita, o google indexa, etc., cron.php genera una petición.

Ahora, es claro que en el archivo cron.php hay un problema de sintaxis. Seguramente por ahi quedo algo sin cerrar o similar dado que el mensaje "Syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215", así lo denota. Seguramente al sacar lo del auto-backup se me quedo algo en el tintero, pero el problema que describo, que es el de fondo sobre el Foro que se cae a cada rato por "too man connections" o similar va más allá de esto.

Pero mi duda de fondo es de que forma es posible que un Foro con 35 usuarios máximo, 20 promedio diarios, pueda generar tantos problemas de capacidad y conexiones?

Lo que me alarma, es la posibilidad de tener código malicioso incrustado por algún Mod o ataque externo.

Agradecería su ayuda para poder ir pesquisando la forma de dar con lo que esta pasando en el foro, pues es recurrente que el "too many connections", "connection refused", etc., aparezcan. Desde el hosting, me señalaron que hemos tenido un promedio de 10 solicitudes por segundo, y un peak de 25 solicitudes por segundo, lo que para nada, se condice con la cantidad de usuarios que tiene conectados el foro.

Una alternativa, sería renombrar el cron.php, y ver que pasa... ?

Saludos y gracias.

[leviatan21]

Hace un tiempo que mi foro esta con problemas de "Too Many Conections", "Server Capacity", etc., generando problemas con el hosting (es de pago).

preguntales cuantas conexiones simultaneas aceptan, hemos vito aqui que nos comentaban que un servidor pago permitía solo 20.

Ahora, es claro que en el archivo cron.php hay un problema de sintaxis. Seguramente por ahi quedo algo sin cerrar o similar dado que el mensaje "Syntax error, unexpected $end in /var/www/html/virtual/pescadictos.cl/www/cron.php on line 215", así lo denota.

Sube al servidor un archivo cron.php limpio y nuevo.

Pero mi duda de fondo es de que forma es posible que un Foro con 35 usuarios máximo, 20 promedio diarios, pueda generar tantos problemas de capacidad y conexiones?

No importa los usuarios o las cantidades de menajes, todo en el foro genera tráfico imagenes de avatares, rangos, páginas, MODs etc.
Y no solo de usuarios registrados, sino también visitantes y Bots
Si habilitas el modo DEBUG ( hay una guía en la biblioteca ) verás al fianl de cada página la cantidad de consultas que demanda cada página a la base, un foro limpio ronda en 20 consultas x página.

Una alternativa, sería renombrar el cron.php, y ver que pasa... ?

No, eso no se hace, como habrás leido en el tema que citaste el cron.php realiza muchas tareas importantes de mantenimiento en la base

[neolite]

Leviatán [Editado],

muchas gracias x las respuestas.

El tema de cuantas conexiones simultáneas aceptan, lo estoy consultando. más de una sorpresa podría llevarme.

Intentare con el tema del cron.php "limpio" bajandolo de un paquete de phpBB3 de la misma versión. Con ello, debiera "eliminar" los mensajes de error por sintáxis del cron.php.

Estoy pidiendo otros log del server, dado que como no tengo acceso, sólo me queda esperar me los manden para revisar.

Por lo menos con el de errores limpio, será más fácil pesquisar si hay algo extraño. No alcance a revisar bien el archivo, pero por lo que pude apreciar vi algunas direcciones de China que estaban tratando de inyectar mediante GET algún sql inyectado. Lo verificará mañana.

Ahi les cuento como me va, para que sirva de info y consulta por si a alguno le pasa lo mismo.

Saludos, y gracias!

[leviatan21]

Alorse,

[neolite]

Alorse,

EDITED!

Mis sinceras disculpas...

[neolite]

Hoy temprano, copie una versión "limpia" del cron.php.

Efectivamente, ya el error no debe aparecer. Solicite el archivo de errores nuevamente para verificar, pero lo cierto es que las notificaciones por nuevos PM y temas suscritos ha vuelto a funcionar.

Sin embargo, continuo con los problemas de lentitud y este tipo de mensajes en el foro:

SQL ERROR [ mysql4 ]

Too many connections [1040]

An sql error occurred while fetching this page. Please contact an administrator if this problem persists.

Consulte por la cantidad de usuarios simultáneos permitidos en el hosting, salvo que me lleve una sorpresa que tengan un número muy bajo, lo cierto es que con el promedio de usuarios conectados (20, con peak de 35) es razonable pensar que se trate de algún código malicioso o "algo" que esta haciendo peticiones a la base MySql de manera exagerada. Puede que con los archivos que solicite despeje un poco más las dudas al respecto.

Habrá que esperar.

Espero este tema sirva para quienes les pase lo mismo o similar, pues es bastante frustrante trabajar casi "ciegas" sin tener acceso al server, y lo que es peor, que el Foro se este cayendo a cada rato.

Adicionalmente, pasa algo raro pues los usuarios deben conectarse pasados 2 ó 3 minutos (actualmente, la configuración de carga del servidor esta seteada a 10.800 segs., es decir, 3 hrs por conexión.)