Access_log : requêtes suspectes

[boby55]

Bonsoir,

J'ai rencontré un problème récemment de quelques membres de mon site "emprisonnés" (dans une jail de fan2ban :mrgreen: ). Mon site est certes fait maison mais bon je ne l'ai pas codé avec les pieds pour autant et existe depuis un moment maintenant. PHP 5, Mysql , Hébergé sur un Kimsuffi.

J'ai fouillé et j'ai constaté que ces membres avaient provoqués des 404 avec des requests contenant /cache/ :

217.XXX.XXX.XX.rev.sfr.net - - [11/May/2012:06:42:59 +0200] "GET /cache7b048650daf77b0009b709a4c5d2f424 HTTP/1.1" 404 3165 "http://www.MONSITE.com/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.168 Safari/535.19"

anantes-XXX-X-XX2-139.w2-8.abo.wanadoo.fr - - [11/May/2012:07:34:56 +0200] "GET /membre/cache/7b048650daf77b0009b709a4c5d2f424 HTTP/1.1" 404 3187 "http://www.MONSITE.com/membre/amis.php" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.168 Safari/535.19"

Il y a différentes pages concernées( toutes potentiellement), situées au root du site ou dans des sous répertoires...

Avez-vous une piste quand à l'origine de ces requetes ?

Merci de votre aide car je sèche sur le sujet :roll:

 

[erestrebian]

Bonjour,

Est-ce que tu utilises APC, cache de Zend ou quelque chose du style ? Ca me parait des caches générés et qui une fois demandés n'existent plus.

 

[boby55]

Bonjour,

J'utilise eAccelerator , en configuration par défaut mais qu'est ce qui pourrait provoquer cela car le problème ne se pose que pour certains utilisateurs (0.3%) ?

De plus ces logs sont pour moi les requêtes demandé au serveur par le client web, or seul apache avec le module eAccelerator s'occupe de gérer le cache de manière transparente de l'extérieure, comment le client pourra faire une telle requête ?

 

[boby55]

un up ? :roll:

 

[MikeR]

Peut-être un hacker qui essaye de récupérer le cache de l'utilisateur précédent?

 

[boby55]

Peut-être un hacker qui essaye de récupérer le cache de l'utilisateur précédent?

Les quelques Ip concernées correspondent à des utilisateurs qui ont un compte sur le site et qui sont loin loin d'être des hackers, j'ai donc abandonné cette hypothèse au début de mes investigations.

 

[boby55]

Bonsoir,

N'ayant toujours pas résolu mon problème, je reviens vers vous si jamais quelqu'un a une idée.

De mon côté j'ai éliminé eaccelerator comme problème potentiel (même désactivé les erreurs se produisent toujours).

Information complémentaire, ces erreurs ne se produisent que pour les utilisateurs ayant une session php d'activée. Alors les sessions auraient-elles un soucis ou est-ce une fausse piste ....

Le mystère reste entier :roll:

 

[polyptote]

Bonjour,

A priori, il s’agit d’un bug de Chrome : http://code.google.com/p/chromium/issues/detail?id=132059

 

[boby55]

Bonjour,

A priori, il s’agit d’un bug de Chrome : http://code.google.com/p/chromium/issues/detail?id=132059

Bonjour,

S'il s'agit d'un bug spécifique à une version de CHROME je suis un peu rassuré.

Merci beaucoup pour cette info

 

[boby55]

Bonjour,

Pour information ce type de request serait due à une extension du navigateur (Chrome ou autre).

L'extension candidate pour le moment est Browser Companion Helper mais rien n'est confirmé.

:roll: