504 Délai d'attente de la passerelle

Général
, , ,
#1

Bonjour,

Depuis au moins deux semaines, le site fonctionne normalement puis très vite j’ai une erreur " 504 Délai d’attente de la passerelle"

o2switch m’a demandé de chercher le process et l’éliminer s’il est n’est pas légitime. J’ai passé imunify pas de process malveillant.

Je ne vois pas comment m’en sortir.

Spip 4.3.2

Dans spip.log, j’ai ce message :

2024-09-09 21:40:44 104.168.171.139 (pid 1839742) :Pub:!INFO: form ecrire_auteur:email_nobot rempli: sonic@busihelp.xyz
2024-09-09 23:14:53 35.91.190.215 (pid 2082813) :Pub:ERREUR: creation tmp/cache/calcul/60/
2024-09-09 23:14:55 109.234.160.100 (pid 2082817) :Pub:!INFO: Collision avec le paquet <spip-contrib-extensions/territoires_stat-c5e87-territoires_stat-1.1.0.zip / Connexion · GitLab> du depot <11>

2024-09-10 01:54:42 20.120.134.35 (pid 2609915) :Pub:ERREUR: creation tmp/cache/calcul/b5/
2024-09-10 02:29:36 104.247.184.230 (pid 2724568) :Pub:ERREUR: creation tmp/cache/calcul/db/
2024-09-10 02:29:37 104.247.184.230 (pid 2724568) :Pub:ERREUR: creation tmp/cache/calcul/aa/
2024-09-10 02:29:37 104.247.184.230 (pid 2724584) :Pub:ERREUR: creation tmp/cache/calcul/c3/
2024-09-10 02:29:38 104.247.184.230 (pid 2724635) :Pub:ERREUR: creation tmp/cache/calcul/13/
2024-09-10 02:29:38 104.247.184.230 (pid 2724635) :Pub:ERREUR: creation tmp/cache/calcul/98/
2024-09-10 02:38:10 104.248.83.242 (pid 2752540) :Pub:ERREUR: queue_close_job car _JQ_PENDING depuis +180s : Array
(
[id_job] => 913821
[descriptif] => Tâche CRON zippeur_effacer_zip (toutes les 7200 s)
[fonction] => zippeur_effacer_zip
[args] => a:1:{i:0;i:1725910482;}
[md5args] => b9f44d8813e36e8ec9a2b664c37a92f1
[inclure] => genie/
[priorite] => 0
[date] => 2024-09-10 01:54:42
[status] => 0
)

2024-09-10 03:52:08 52.169.223.211 (pid 2943013) :Pub:ERREUR: creation tmp/cache/calcul/dd/

Une idée ? Je suis totalement paumé…

Merci

#2

Message du service oswitch :

Vous saturez toujours les process de votre hébergement. Voici un exemple de process qui sont lancés et qui ne se terminent pas, provoquant cela :

2032042 zkan8855 20 0 31336 6216 1580 S 0,7 0,0 0:38.70 /usr/sbin/client
2017150 zkan8855 20 0 31444 6260 1620 S 0,0 0,0 0:38.94 /usr/sbin/client
2017153 zkan8855 20 0 31336 6132 1504 S 0,0 0,0 0:38.77 /usr/sbin/client
2017182 zkan8855 20 0 31336 6152 1516 S 0,0 0,0 0:37.36 /usr/sbin/client
2017186 zkan8855 20 0 31336 6148 1516 S 0,0 0,0 0:38.05 /usr/sbin/client
2017446 zkan8855 20 0 31336 6148 1516 S 0,0 0,0 0:38.89 /usr/sbin/client
2017449 zkan8855 20 0 31336 6252 1620 S 0,0 0,0 0:41.55 /usr/sbin/client
2017520 zkan8855 20 0 31340 6028 1392 S 0,0 0,0 0:35.06 /usr/sbin/client
2017523 zkan8855 20 0 31340 6012 1372 S 0,0 0,0 0:37.76 /usr/sbin/client
2019481 zkan8855 20 0 31440 6152 1516 S 0,0 0,0 0:38.73 /usr/sbin/client
2019487 zkan8855 20 0 31336 6156 1520 S 0,0 0,0 0:37.59 /usr/sbin/client
2019704 zkan8855 20 0 31332 6304 1688 S 0,0 0,0 0:37.55 /usr/sbin/client
2019708 zkan8855 20 0 31332 6264 1636 S 0,0 0,0 0:38.52 /usr/sbin/client
2032010 zkan8855 20 0 31440 6208 1580 S 0,0 0,0 0:37.17 /usr/sbin/client
2674128 zkan8855 20 0 31332 7028 2400 S 0,0 0,0 0:07.35 /usr/sbin/client
2674201 zkan8855 20 0 31336 6888 2272 S 0,0 0,0 0:07.64 /usr/sbin/client

Que faire ?

Encore merci

#3

Ça vient peut-être de ce job, tu as tenté de désactiver le plugin Zippeur - Plugins SPIP ?

#4

Bonjour,
perso, je m’inquiéterais plutôt de savoir d’où vient cette adresse :

Et si j’en crois une simple recherche, c’est pas joli-joli
il s’agirait d’un spammeur, votre site pourrait donc être compromis
exemple

Clt

#5

J’ai désactivé

#6

Réponse de o2switch :

"Si je fais un strace -p de l’un de vos process j’ai ceci :

connect(3, {sa_family=AF_INET, sin_port=htons(6667), sin_addr=inet_addr(« 167.71.55.227 »)}, 16) = -1 ECONNREFUSED (Connection refused)
close(3) = 0
socket(AF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
ioctl(3, TCGETS, 0x7ffdd7f78400) = -1 ENOTTY (Inappropriate ioctl for device)
lseek(3, 0, SEEK_CUR) = -1 ESPIPE (Illegal seek)
ioctl(3, TCGETS, 0x7ffdd7f78400) = -1 ENOTTY (Inappropriate ioctl for device)
lseek(3, 0, SEEK_CUR) = -1 ESPIPE (Illegal seek)
fcntl(3, F_SETFD, FD_CLOEXEC) = 0

#7

C’est une simple tentative de spam, et comme le champ nobot est rempli, le form de contact la bloquera :wink:

#8

Que faire ?

#9

Le site a bien été mis à jour rapidement après l’annonce de la version 4.3.2 ? As-tu demandé à ton hébergeur d’analyser le contenu afin de vérifier qu’il n’a pas été piraté ?

#10

Bonjour,
si on cherche sur internet

on tombe sur ce site
https://www.abuseipdb.com/whois/109.234.161.233
qui liste des domaines d’o2switch, parmi lesquels

www.malle-ensembleorg.zkan8855

et

equipe-centre-lecturecom.zkan8855

Ces domaines sont bien sûr inexistants mais correspondent à des vrais domaines concaténés avec leur TLD
Je ne sais pas si cela pourra vous aider
Clt

#11

Nouvelle réponse de o2switch :

« Je ne vois pas le rapport avec la réponse.
Votre site génère des process en boucle, un spameur est effectivement un souci au niveau du site, cependant, cela ne corrige en rien votre saturation de process. »

#12

Le site a tout de suite été mis à jour en 4.3.2

#13

Bonjour,
essaye de désactiver le plugin territoires_stat pour tester sans !

#14

Je n’ai pas de plugin territoires_stat. Je ne le trouve nulle part

#15

Essaye en supprimant/recréant le dépot des plugins ?

#16

Je suis nul. Je n’y comprends rien de rien

#17

Est qu’il y aurait quelqu’un qui pourrait me sortir de ce merdier… contre rémunération ?

#18

a ce stade là, j’aurais tendance à soupconné que le site a été l’objet d’un piratage à un moment avec un malware en arrière plan. Autrement dit ce ne serait pas SPIP en lui meme qui fait tourner le process, mais plutot un truc derrier

J’aurais donc tendance à préconiser d’utiliser spip-contrib-outils / spip_cleaner · GitLab OU BIEN si c’est trop compliqué d’utiliser pour toi ce script

  1. Sauvegarde de la BASE, du dossier IMG et du dossier plugins
  2. Effacement de tout SPIP
  3. Reinstallation
  4. Laisser pendant quelques temps voir si cela sature encore.
  5. Si pas le cas, finir la reinstallation
    a. Reimport de la base
    b. Reimport du dossier IMG par étape en n’y mettabt que les fichiers legitimes
    c. Reinstallation des plugins depuis l’espace de SPIP
#19

Pour vous cet identifiant signifie quelque chose ? c’est votre identifiant O2Switch ? (ça ressemble à un identifiant O2S)

Cette IP 167.71.55.227 (Digital Ocean Francfort) semble pas très clean non plus bien que dans votre cas on dirait que c’est elle la cible, je pencherai aussi pour un site piraté avec un malware qui tente d’établir une connexion à 167.71.55.227, cette IP étant signalée comme abusive, il n’est pas impossible que le malware tente une connexion avec une IP qui a entre temps été nettoyée, d’ou les échecs.

ChapGPT:
Ces appels systèmes montrent qu’un programme tente de se connecter à un serveur via une socket TCP/IP à l’adresse 167.71.55.227 sur le port 6667, mais la connexion est refusée. Ensuite, plusieurs tentatives d’opérations qui sont inappropriées pour une socket (comme ioctl et lseek) échouent logiquement.

Le fait que votre site fasse ce genre de tentative de connexion vers l’extérieur semble indiquer qu’il y a un programme qui essaye de faire ça et je ne pense pas que ce soit Spip …

#20

Et l’analyse par ChaptGPT du log Spip est intéressante, vu qu’il ne sait pas que c’est Spip … je me demande s’il a tout juste, la conclusion donne des pistes mais je ne sais pas si ces erreurs Spip ont à voir avec les process évoqués par O2S, par essence le log Spip ne voit que ses propres erreurs et problèmes:

Ce journal semble provenir d’un serveur ou d’une application web (peut-être sous un système CMS comme SPIP, vu la structure des erreurs et des chemins de cache). Voici une analyse détaillée de chaque ligne :

  1. 2024-09-09 21:40:44 104.168.171.139 (pid 1839742) :Pub:!INFO: form ecrire_auteur:email_nobot rempli: sonic@busihelp.xyz
  • Un utilisateur (probablement avec l’adresse IP 104.168.171.139) a rempli un formulaire (potentiellement un formulaire de contact ou d’inscription) où le champ d’email sonic@busihelp.xyz a été utilisé. Le préfixe email_nobot pourrait indiquer une protection anti-bot (comme un captcha).
  1. 2024-09-09 23:14:53 35.91.190.215 (pid 2082813) :Pub:ERREUR: creation tmp/cache/calcul/60/
  • Une erreur survient lors de la création du répertoire tmp/cache/calcul/60/, nécessaire pour le système de cache. L’adresse IP associée à cette action est 35.91.190.215. Cela pourrait être causé par des permissions incorrectes sur le dossier ou un problème de capacité du serveur.
  1. 2024-09-09 23:14:55 109.234.160.100 (pid 2082817) :Pub:!INFO: Collision avec le paquet <spip-contrib-extensions/territoires_stat-c5e87-territoires_stat-1.1.0.zip / Connexion · GitLab 1> du depot <11>
  • Un message d’information indique une collision avec un paquet lors d’une tentative de gestion de l’extension territoires_stat (probablement une extension SPIP). La collision pourrait signifier que plusieurs processus essaient de manipuler ce fichier simultanément, ou qu’il y a un conflit de version dans le dépôt GitLab.
  1. 2024-09-10 01:54:42 20.120.134.35 (pid 2609915) :Pub:ERREUR: creation tmp/cache/calcul/b5/
  • Nouvelle erreur liée à la création d’un dossier cache, ici tmp/cache/calcul/b5/, associée à l’adresse IP 20.120.134.35. Cela peut aussi être un problème de droits ou de disponibilité du stockage.
  1. 2024-09-10 02:29:36 104.247.184.230 (pid 2724568) :Pub:ERREUR: creation tmp/cache/calcul/db/
  • Erreur similaire avec un autre dossier cache db/ pour l’IP 104.247.184.230.
  1. 2024-09-10 02:29:37 104.247.184.230 (pid 2724568) :Pub:ERREUR: creation tmp/cache/calcul/aa/
  • Encore une erreur pour la création d’un répertoire cache aa/.
  1. 2024-09-10 02:29:37 104.247.184.230 (pid 2724584) :Pub:ERREUR: creation tmp/cache/calcul/c3/
  • Nouvelle erreur sur le cache c3/.
  1. 2024-09-10 02:29:38 104.247.184.230 (pid 2724635) :Pub:ERREUR: creation tmp/cache/calcul/13/
  • Erreur cache sur 13/.
  1. 2024-09-10 02:29:38 104.247.184.230 (pid 2724635) :Pub:ERREUR: creation tmp/cache/calcul/98/
  • Erreur cache sur 98/.
  1. 2024-09-10 02:38:10 104.248.83.242 (pid 2752540) :Pub:ERREUR: queue_close_job car _JQ_PENDING depuis +180s : Array
  • Ce message d’erreur signale un problème avec une file d’attente de tâches (queue_close_job) qui n’a pas été traitée depuis plus de 180 secondes. Cela pourrait indiquer un blocage dans l’exécution d’une tâche ou un problème de gestion des files d’attente.

Résumé :

Le journal montre des problèmes récurrents avec la création de répertoires de cache, probablement dus à des permissions incorrectes, un manque de place ou des problèmes de configuration du serveur. Il y a aussi un conflit lié à une extension SPIP, ainsi qu’un souci avec la file d’attente de tâches. Il serait recommandé de vérifier les droits d’accès aux dossiers de cache et la configuration des extensions.