Nombre de requetes élevé et choses étranges dans les logs : que faire ?

[JEsc]

Bonjour,

j'ai recu cet aprés-midi un email de mon hébergeur m'informant d'un nombre inhabituel de requête sur la base de données de mon site.

En une heure il en aurait reçu 75.000 (c'est si élevé que ca ?), mais la courbe dans l'admin de mon hébergeur semble maintenant être revenu à la normale.

En regardant dans les logs, je vois pas mal de choses étranges à cette heure là. Beaucoup d'erreurs 404 (mais aussi d'autres status) avec des requêtes cheloux, du style :

"GET /recherche?controller=????????? HTTP/1.1" 200 11857 "https://xxxxxxx/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/xxxxx Safari/xxxxx"

"GET ??????/ps_facetedsearch/views/dist/front.css HTTP/1.1" 404

 

Et pendant un bon 30 minutes j'ai 4.668 requetes du genre, avec "https://www.google.com/search?hl=en&q=testing" :

"GET /mon-compte HTTP/1.1" 302 - "https://www.google.com/search?hl=en&q=testing"

"GET /js/jquery/ HTTP/1.1" 403 199 "https://www.google.com/search?hl=en&q=testing"

 

Vous en pensez quoi ? Tentative de hack ? Un robot qui a tenté plein de choses pour trouver une faille ?

J'avoue que je ne sais pas trop quoi faire, quoi vérifier, comment savoir s'il y a un soucis ou s'il est reparti comme il est venu :$ ?

 

Merci d'avance.

 

EDIT : alors oui dans les logs j'ai pas pu mettre le code en question. Apparemment le forum de prestashop bloque mon message quand j'essaie de mettre ca. Ca me semble pas bon signe :$. Des trucs avec des "XOR" et des "OR" etc ...

 

[JEsc]

module/blockwishlist/action?action=deleteProductFromWishlist0' XO R (if (no w()=   sys date()%2C  sleep(15)%2C0))X  OR'Z

On va voir si ca passe en mettant des espaces un peu partout ...

[Mediacom87]

Bonjour,

vous faites juste face à un problème connu à savoir un défaut développement sur le module de navigation à facette natif de PrestaShop qui provoque la création de millions de liens sur votre boutique et donc de smillions de liens appelés par des robots honnêtes ou non.

La seule solution, changer de module de navigation à facette, mon préféré, AmazzingFilter mais j'en liste d'autre dans mon article : https://www.mediacom87.fr/googlebot-deviendrait-il-fou/

[JEsc]

Bonjour Mediacom87,

merci pour votre réponse. Ca me rassure un peu.

Et pour le "0' XO R (if (no w()=   sys date()%2C  sleep(15)%2C0))X  OR'Z" (retirer les espaces en trop), même chose ? Des robots qui tentent des trucs sur le navigation à facette ?

[Mediacom87]

il y a 1 minute, JEsc a dit :

module/blockwishlist/action?action=deleteProductFromWishlist0' XO R (if (no w()=   sys date()%2C  sleep(15)%2C0))X  OR'Z

On va voir si ca passe en mettant des espaces un peu partout ...

là on est sur une attaque.

Normalement c'est au WAF de votre hébergeur de gérer ce genre de cas et les bloquer.

 

[JEsc]

Bon, j'ai vérifié mon hébergement... et le WAF n'était pas activé par défaut  .

Je viens de l'activer sur tous les domaines et sous-domaines.

[JEsc]

Merci encore.
Est-ce qu'il y a moyen de savoir s'il y a un soucis ou s'il est reparti comme il est venu ?

[Mediacom87]

Il faut surveiller ou tester les url pour savoir comment réagit le site.

[JEsc]

Merci, on va surveiller 🙂
J'ai regardé si le RIB des virements était toujours le bon 😉