Forum

Ich bekomm doch alles kaputt.

Ich habe seit geraumer Zeit ständig Serverfehler (Rolf hat sich das schon angeschaut).

Auf jeden Fall habe ich mir im Errorlog die URL dazu angeschaut und einige seltsame Einträge gesehen z. B.

http://www.darksweetys.com/system/user/index.php?opnparams=CGoCdAZpCj1acAAsCHkBP1FwVjQIMF9vBzk

http://www.darksweetys.com/banners/system/user/index.php (Seite existiert nicht)

http://www.darksweetys.com/system/user/?destination=node/add


------------------------------------------------
http://www.darksweetys.com/modules/guestbook/index.php+%5BPLM=0%5D+GET+http://www.darksweetys.com/modules/guestbook/index.php+%5B0,64547,65768%5D+-%3E+%5BN%5D+POST+http://www.darksweetys.com/modules/guestbook/index.php+%5B0,0,20887%5D
(Modul Gästebuch habe ich daraufhin deinstalliert)

Nachdem ich das GB deinstalliert habe hat mich mein OPN ganz ausgesperrt, in dem er meine IP gesperrt hat.

Der Zugriff auf die angeforderte Datei wurde verweigert.
403 - Fehler

Diese IP ist gesperrt für diese Webseite

Vor einigen Monaten wurde meine Seite ja durch einen Trojaner infiziert. Über FileZilla. Damals wurden index.html seiten eingeschleust.
Die html's habe ich damals entfernt, alle PW geändert

Seit dem lief es aber wieder.

Ich vermute das es damit zu tun haben könnte.

Leider kann ich nun gar nichts mehr tun.

Bitte Supportteam, helft mir.

OK, habs gelöst, wer lesen kann ist im Vorteil.  Bin wieder drin.

Die Frage nach dem "WARUM" bleibt

Hallo André

Wie bereits schon erwähnt, leigt das Problem eher am Server und nicht an OPN.

Zu deinen Links oben und allgemein von Einträgen ins Error Log via EVA Modul.

Wenn jemand versucht deine Seite aufzurufen mittels einem ungültigen Link, dann gibt es einen Eintrag ins Error Log.
Oft findst du da Einträge wie system/user/?destination=node/add oder domain.com/login.php, wp-admin.php usw.

Das sind meist versuche von aussen auf die Seite zu gelangen. Solche Einträge kannst du ruhig ignorieren. Dann gibt es diverse Exploits, also Anleitungen im Netz wie man in den Admin Bereich kommt WordPress, WBB oder anderen Foren. Dabei werden halt alle CMS mal mit dieser Methode getestet und versucht zu hacken.

Das EVA Modul erkennt solche "Angriffe" oder falsche Skriptaufrufe und block dann die IP.

Bei dir kommst es immer wieder zu 500er Errors ohne dass man irgend ein Muster erkennen kann.

500er Errors sind immer Serverseitig und nicht Client seitig.

Stefan hat mir einen Tipp und die Anleitung gegeben, so dass in deinem Error Log nun TRC Dateien gespeichert werden.
Einfach gesagt, legt nun OPN beim ausführen eines PHP Prozesses im cache eine TRC Datei an, welche automatisch wieder gelöscht wir wenn der Server den PHP Prozess sauber beendet.

Wird der Prozess vom Server nicht korrekt ausgeführt, dann bleibt die TRC Datei im cache gespeichert und wird in OPN Error Log angezeigt.

Mit dieser Methode sollten wir nun rausfinden, welche Prozess wann und wo die 500er auslöst.
Geht aber nicht, weil da rein gar nichts steht was uns weiterhelfen könnte.

Bitte Prüfe mal noch die htaccess im root. Vergleich die mal mit den Einträgen aus dem Modul Black IP.

Dann noch eine Möglickeit. Schau mal das gesamte theme durch, ob da am Ende der PHP Dateien, also nach ?> ein Leerzeichen kommt oder ein Zeilenumbruch kommt. Da darf nichts mehr kommen, ansonsten kann es zu Fehler kommen.

Danke erstmal für die Antwort Rolf, ich weiss das nervt....

Es gibt seltsame Fehlermeldungen im Errorlog:
- Debug error detected within form.table.class on Dark Sweetys (http://www.darksweetys.com)
in fieldname: "score"
selected value: "0" [integer]
page name: modules/reviews
possible values: "10" [integer]
"9" [integer]
"8" [integer]
"7" [integer]
"6" [integer]
"5" [integer]
"4" [integer]
"3" [integer]
"2" [integer]
"1" [integer]
-----------------------------------------
Ich hatte erst vermutet das direkt über meinen eigenen Account Spamversuche unternommen, denn ganz dummer Weise hab ich das PW nach dem Trojanerbefall nicht geändert.
Seltsam war auch das meine eigene IP plötzlich gesperrt wurde.


Diese IP s sind in der Blacklist und auch in der htacces im root gelistet.
Das scheint aber ok zu sein.

Das Theme werd ich checken.

        111.73.46.11 13.01.2013 2 13.01.2013 117.26.206.54 05.01.2013 2 05.01.2013 142.4.105.66 12.01.2013 21 22.01.2013        

So das Theme habe ich durchsucht. Es gab einige Leerzeilen am Ende aber das war es scheinbar nicht.

Aber mit der htacess könnte zusammen hängen.

Habe da zwar einen älteren Thread gefunden, vieleicht kann man da Rückschlüsse ziehen.
http://www.drupalcenter.de/node/4137

In den FAQ's von Netclusive steht folgendes zu dem Fehler:

http://faq.netclusive.de/66_269_de.html

Ich habe jetzt nochmal die Dateiatribute des Cache Ordners komplett auf 777 gesetzt.
Dabei ist mir aufgefallen, das auf einmal im User-index plätzlich die "Likes" (hab FB-Like eingebaut) angezeigt werden. War vorher ständig 0.

Das ist zwar für dan VServer gedacht, aber vieleicht ist es ja ähnlich.
meine htcaccess sieht so aus:
------------------------------------------------------------------------------
#
# generated by openphpnuke on 23.01.2013 16:16:43
#
# Hello how are you? have a nice day
# with OpenPHPnuke
#

ErrorDocument 400 /safetytrap/error.php?op=400
ErrorDocument 401 /safetytrap/error.php?op=401
ErrorDocument 403 /safetytrap/error.php?op=403
ErrorDocument 404 /safetytrap/error.php?op=404
ErrorDocument 500 /safetytrap/error.php?op=500

AddHandler x-httpd-php5 .php
#sitemap domain tricky

RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_URI} ^(.*)/sitemap.xml$
RewriteCond %{HTTP_HOST} ^(.*)$
RewriteRule (.*) http://%1/masterinterface.php?mysitemap=%1 [L]

#SEO tricky - beware this could be read as spam

RewriteEngine On
RewriteBase /
RewriteRule ^web/index.html$ /system/tags_clouds/index.php [N,QSA]
RewriteRule ^web/(.*).html$ /system/tags_clouds/search.php?q=$1 [N,QSA]

#SEO tricky for backend

RewriteEngine On
RewriteBase /
RewriteRule ^backend-(.*).xml$ /system/backend/backend.php?q=$1 [N,QSA]

#automatic blacklist part

order allow,deny
deny from 110.84.191.171
deny from 110.84.191.191
deny from 110.87.152.30
deny from 110.87.153.47
deny from 110.87.155.171
deny from 110.88.98.166
deny from 110.88.98.239
deny from 110.88.98.78
deny from 111.161.30.217
deny from 111.73.45.117
deny from 111.73.45.14
deny from 111.73.45.17
deny from 111.73.45.41
deny from 111.73.45.9
deny from 111.73.46.11
deny from 111.73.46.13
deny from 112.111.172.151
deny from 112.111.187.76
deny from 113.212.70.115
deny from 113.212.70.123
deny from 114.35.167.38
deny from 117.25.15.215
deny from 117.26.201.82
deny from 117.26.204.187
deny from 117.26.204.38
deny from 117.26.204.8
deny from 117.26.206.54
deny from 117.27.138.86
deny from 120.203.214.182
deny from 121.205.214.54
deny from 123.65.108.230
deny from 123.65.220.185
deny from 123.65.221.22
deny from 142.0.142.65
deny from 142.0.142.66
deny from 142.4.105.66
deny from 142.4.117.161
deny from 142.54.169.26
deny from 142.54.187.26
deny from 175.44.13.209
deny from 178.137.165.136
deny from 178.137.92.97
deny from 178.167.13.230
deny from 178.167.59.239
deny from 192.210.59.250
deny from 192.74.229.33
deny from 198.27.78.140
deny from 199.15.234.140
deny from 199.188.246.181
deny from 202.102.72.38
deny from 218.86.50.251
deny from 222.77.206.223
deny from 222.77.244.59
deny from 27.156.79.43
deny from 41.213.134.137
deny from 58.22.10.92
deny from 59.58.137.171
deny from 59.58.137.50
deny from 59.58.159.145
deny from 59.60.106.30
deny from 60.173.11.231
deny from 61.191.188.246
deny from 66.249.76.180
deny from 91.236.74.109
deny from 91.236.74.111
deny from 91.236.74.166
deny from 91.237.249.80
deny from 99.48.85.66
allow from all
-------------------------------------------------------



[ Diese Nachricht wurde bearbeitet von: darksweetys am 23.01.2013 19:00 (Originaldatum 23.01.2013 18:52) ]

modules/reviews

Den Fehler kannst du vergessen, das ist nicht wirklich ein Error. Der kommt auch zum Beispiel aus dem Modul anytable. Wenn ich mich recht erinnere, dann kommt das nur beim Modulaufruf wenn ein Feld nicht ausgefüllt ist. Meistens passiert das, wenn der Google Bot oder ähnlich den Link aufruft.


Wegen der .htaccess
Das vermute ich eben auch, dass die Probleme machen kann.

Benenne doch die mal um nach #.htaccess
Somit wäre die mal ausser Betrieb. Dann schau mal ein paar Tage ob es dann geht und die 500er verschwinden.

Danach sehen wir weiter.

Das mit dem Theme könnte es aber auch gewesen sein, da bei dir PHP über CGI läuft. Dann mag der Server nach dem PHP keine Zeichen mehr.

Danke, hab die htacces umbenannt. Mal schauen.

Komisch nur das es vorher lief.

Danke erstmal

Korrektur, bei umbenennung der htacces passiert folgendes:


Parse error: syntax error, unexpected T_STRING, expecting T_OLD_FUNCTION or T_FUNCTION or T_VAR or '}' in /home/www/ncf310/html/class/class.settings.php on line 68

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator devnull@netclusive.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request.

Nach nochmaliger Anfrage bei Netclusive kam folgende Antwort.

-----------------

vielen Dank für Ihre Anfrage.

Nach Überprüfung konnten wir feststellen, dass Ihre Seite an die maximale Anzahl von 10 Prozessen gestoßen ist und so die Fehlermeldung anzeigte.

Bitte Überprüfen Sie diesbezüglich Ihre Skripte, auf unnötige Prozesse.

Um weitere entsprechende Fehler zu vermeiden, empfehlen wir Ihnen ein Upgrade auf einen Virtuellen Managed Webserver.

Hier gelten andere Limitierungen, sodass dieser Fehler nicht auftritt.

Unter folgender URL können Sie die Produktmerkmale einsehen:

http://www.netclusive.de/?go=vserver_managed

Gerne können wir Ihnen anbieten, ein solches System für eine Woche kostenfrei zum Test zur Verfügung zu stellen.

Ein Upgrade können Sie jederzeit in Ihrem Kundenlogin unter "Vertrag" -> "Upgrade" ausführen.

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen aus Montabaur 

------------------------------------

Ich will aber gar kein Upgrade.

Jetzt frag ich mich aber ob die nicht doch etwas verändert haben. Wenn ich sonst die ServerInfo aufgerufen habe erschien oben immer eine Fehlermeldung. Die ist nun weg. Auch so wird die Seite recht zügig angezeigt.

Irgend etwas wurde definitiv verändert. Plötzlich erhalte ich wieder Mails als Admin (Geburtstage usw.)

Vor kurzem bekam ich noch Fehlermeldungen von wegen sendmail usw. Von einem anderen Portal weiss ich das meine Webmastermail bei ihm als Spam geblockt wurde.

Kann das irgendwie im Zusammenhang stehen?

Ansonsten habe ich bis jetzt noch keinen neuen Serverfehler bemerkt. Obwohl ich mir gar nicht traue das zu schreiben, denn ich warte schon darauf das ein neuer erscheint.

Was bedeutet eigentlich 10 Prozesse? Was ist ein Prozess an sich?