[SPIP Zone] htaccess spip et Apache 2.4

Bonjour,

J’héberge mes sites SPIP sur des instances Simple Hosting chez Gandi.net.

Je relève régulièrement des erreurs dans mes logs apache 2.4.29:

[Sun Mar 11 16:49:57.230895 2018] [proxy_fcgi:error] [pid 122146:tid 140508093404928] [client XXXXXXXX] AH01071: Got error 'Primary script unknown\n'

Ceci se produit quand certains essaient d’accéder à des fichiers absents du serveur genre « wp-login.php » ou encore « license.php ». Ce qui renvoie un 404 File not found…

Le support Gandi me demande de modifier mon fichier ‹ .htaccess › en me basant sur les indications suivantes :
http://fabien.agranier.com/fr/directive-options-indexes-ignoree-par-apache-2-4/
http://www.coders.pro/2017/01/got-error-primary-script-unknown-update-php-fpm-apache-2-4/

J’avoue ne pas comprendre ce que je dois modifier dans le fichier htaccess (standard) de SPIP (qui fonctionnait très bien avant les migrations récentes des centres de données Gandi).

Quelqu’un peut-il m’éclairer ?

Merci !

Salut,

Même problème que toi, ce qui n’est pas très méchant sauf à polluer les logs Apache.

Le 11/03/2018 à 18:42, Philippe Boussin a écrit :

Bonjour,

J'héberge mes sites SPIP sur des instances Simple Hosting chez Gandi.net.

Je relève régulièrement des erreurs dans mes logs apache 2.4.29:

[Sun Mar 11 16:49:57.230895 2018] [proxy_fcgi:error] [pid 122146:tid 140508093404928] [client XXXXXXXX] AH01071: Got error 'Primary script unknown\n'

Ceci se produit quand certains essaient d'accéder à des fichiers absents du serveur genre "wp-login.php" ou encore "license.php". Ce qui renvoie un 404 File not found...

Le support Gandi me demande de modifier mon fichier '.htaccess' en me basant sur les indications suivantes :
http://fabien.agranier.com/fr/directive-options-indexes-ignoree-par-apache-2-4/
http://www.coders.pro/2017/01/got-error-primary-script-unknown-update-php-fpm-apache-2-4/

J'avoue ne pas comprendre ce que je dois modifier dans le fichier htaccess (standard) de SPIP (qui fonctionnait très bien avant les migrations récentes des centres de données Gandi).

Quelqu'un peut-il m'éclairer ?

Merci !

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

En mettant
DirectoryIndex disabled
Options Indexes
dedans?

mais je sais pas s'il n'y a pas des effets secondaires (je me contente de lire le premier lien)

J’ai essayé en mettant ça sous la section Réglages Personnalisés du .htaccess de spip, ça plante Apache et ça donne ça :

[Sun Mar 11 19:52:23.102367 2018] [rewrite:error] [pid 17866:tid
140354246350592] [client :12219] AH00670: Options
FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule
directive is also forbidden due to its similar ability to circumvent
directory restrictions : /srv/data/web/vhosts//htdocs/

[Sun Mar 11 19:52:16.221938 2018] [autoindex:error] [pid 17866:tid
140354237957888] [client :6315] AH01276: Cannot serve
directory /srv/data/web/vhosts//htdocs/: No matching
DirectoryIndex () found, and server-generated directory index forbidden
by Options directive

Fa_b

Le 11 mars 2018 à 21:25, Maïeul <maieul@maieul.net> a écrit :

Le 11/03/2018 à 18:42, Philippe Boussin a écrit :

Bonjour,

J’héberge mes sites SPIP sur des instances Simple Hosting chez Gandi.net.

Je relève régulièrement des erreurs dans mes logs apache 2.4.29:

[Sun Mar 11 16:49:57.230895 2018] [proxy_fcgi:error] [pid 122146:tid 140508093404928] [client XXXXXXXX] AH01071: Got error ‹ Primary script unknown\n ›

Ceci se produit quand certains essaient d’accéder à des fichiers absents du serveur genre « wp-login.php » ou encore « license.php ». Ce qui renvoie un 404 File not found…

Le support Gandi me demande de modifier mon fichier ‹ .htaccess › en me basant sur les indications suivantes :
http://fabien.agranier.com/fr/directive-options-indexes-ignoree-par-apache-2-4/
http://www.coders.pro/2017/01/got-error-primary-script-unknown-update-php-fpm-apache-2-4/

J’avoue ne pas comprendre ce que je dois modifier dans le fichier htaccess (standard) de SPIP (qui fonctionnait très bien avant les migrations récentes des centres de données Gandi).

Quelqu’un peut-il m’éclairer ?

Merci !

---

spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

En mettant
DirectoryIndex disabled
Options Indexes
dedans?

mais je sais pas s’il n’y a pas des effets secondaires (je me contente de lire le premier lien)

---

spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Le 11/03/2018 à 21:45, Fabrice Véronneau a écrit :

J'ai essayé en mettant ça sous la section Réglages Personnalisés du .htaccess de spip, ça plante Apache et ça donne ça :

[Sun Mar 11 19:52:23.102367 2018] [rewrite:error] [pid 17866:tid
140354246350592] [client <monIp>:12219] AH00670: Options
FollowSymLinks and SymLinksIfOwnerMatch are both off, so the RewriteRule
directive is also forbidden due to its similar ability to circumvent
directory restrictions : /srv/data/web/vhosts/<monND>/htdocs/

[Sun Mar 11 19:52:16.221938 2018] [autoindex:error] [pid 17866:tid
140354237957888] [client <monIp>:6315] AH01276: Cannot serve
directory /srv/data/web/vhosts/<monND>/htdocs/: No matching
DirectoryIndex () found, and server-generated directory index forbidden
by Options directive

Fa_b

aucune idée alors.

Nous avons aussi constaté ça depuis quelque temps : ça semble être la trace d’une recrudescence de tentatives de piratage.

On le voit aussi bien sur des sites SPIP que Drupal, alors que ça tente manifestement d’accéder au login d’un Wordpress : apparemment, comme Wordpress est bien connu pour être à l’heure actuelle le CMS le plus répandu, “ils” essayent en priorité “wp-login.php”.
On trouve aussi quelques variantes adaptées à d’autres CMS, mais beaucoup moins nombreuses.

Je ne vois pas ce que les modifications proposées dans le .htaccess pourraient y faire : apparemment ça n’a rien à voir.

Par contre, notre solution, toute simple et qui marche fort bien : créer au niveau racine un fichier vide “wp-login.php”, et le tour est joué !
Après, chaque fois qu’on trouve encore une variante, il suffit d’ajouter un autre fichier vide, adapté à “la demande”…

From: Philippe Boussin
Sent: Sunday, March 11, 2018 6:42 PM
To: spip-zone@rezo.net
Subject: [SPIP Zone] htaccess spip et Apache 2.4

Bonjour,

J’héberge mes sites SPIP sur des instances Simple Hosting chez Gandi.net.

Je relève régulièrement des erreurs dans mes logs apache 2.4.29:

[Sun Mar 11 16:49:57.230895 2018] [proxy_fcgi:error] [pid 122146:tid 140508093404928] [client XXXXXXXX] AH01071: Got error 'Primary script unknown\n'

Ceci se produit quand certains essaient d’accéder à des fichiers absents du serveur genre « wp-login.php » ou encore « license.php ». Ce qui renvoie un 404 File not found…

Le support Gandi me demande de modifier mon fichier ‹ .htaccess › en me basant sur les indications suivantes :
http://fabien.agranier.com/fr/directive-options-indexes-ignoree-par-apache-2-4/
http://www.coders.pro/2017/01/got-error-primary-script-unknown-update-php-fpm-apache-2-4/

J’avoue ne pas comprendre ce que je dois modifier dans le fichier htaccess (standard) de SPIP (qui fonctionnait très bien avant les migrations récentes des centres de données Gandi).

Quelqu’un peut-il m’éclairer ?

Merci !

spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Depuis toujours j'ai cette régle dans le htaccess :

# réorienter les demandes de fichiers wordpress vers une page bidon
RewriteRule wp https://en.support.wordpress.com/automattic-gdpr/

JL

Ok, je teste cette règle, je vous tiens au courant en fin de journée

Le 12/03/2018 à 09:33, Fabrice Véronneau a écrit :

Ok, je teste cette règle, je vous tiens au courant en fin de journée

grosses perturbations chez gandi ce matin
http://status.gandi.net/timeline

JL

oui mais rien à voir avec notre histroire de log Apache

Bon j’ai croisé les dates entre Apache Error Log et Access Log et j’ai effectivement des tentatives de connexion WP sur un SPIP

[Mon Mar 12 09:21:02.506818 2018] [proxy_fcgi:error] [pid 20786:tid
140354011354880] [client :12827] AH01071: Got error
‹ Primary script unknown\n ›

Pour :

- - [12/Mar/2018:09:21:02 +0000] (0 s) « GET /wp-login.php
HTTP/1.1 » 404 16 « - » « Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0)
Gecko/20100101 Firefox/40.1 »

Mais le RW que tu as donné ne fonctionne pas.

Fa_b

Le 12 mars 2018 à 09:43, JLuc <jluc@no-log.org> a écrit :

Le 12/03/2018 à 09:33, Fabrice Véronneau a écrit :

Ok, je teste cette règle, je vous tiens au courant en fin de journée

grosses perturbations chez gandi ce matin
http://status.gandi.net/timeline

JL

---

spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Le 12/03/2018 à 10:41, Fabrice Véronneau a écrit :

oui mais rien à voir avec notre histroire de log Apache

Bon j'ai croisé les dates entre Apache Error Log et Access Log et j'ai effectivement des tentatives de connexion WP sur un SPIP

[Mon Mar 12 09:21:02.506818 2018] [proxy_fcgi:error] [pid 20786:tid
140354011354880] [client <IP>:12827] *AH01071*: Got error
'Primary script unknown\n'

Pour :

<ND> <IP> - - [12/Mar/2018:09:21:02 +0000] (0 s) "GET */wp-login.php*
HTTP/1.1" 404 16 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0)
Gecko/20100101 Firefox/40.1"

Mais le RW que tu as donné ne fonctionne pas.

bah si...
peut être tu le met trop tard ?

JL

Fa_b

Le 12 mars 2018 à 09:43, JLuc <jluc@no-log.org <mailto:jluc@no-log.org>> a écrit :
>
> Le 12/03/2018 à 09:33, Fabrice Véronneau a écrit :
>>
>> Ok, je teste cette règle, je vous tiens au courant en fin de journée
>
> grosses perturbations chez gandi ce matin
> http://status.gandi.net/timeline
>
> JL
>
> ----
> spip-zone@rezo.net <mailto:spip-zone@rezo.net> - http://listes.rezo.net/mailman/listinfo/spip-zone

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Je le met dans Réglages Personnalisés, mais peut-être c’est pas le bon endroit

Le 12/03/2018 à 11:16, Fabrice Véronneau a écrit :

Je le met dans Réglages Personnalisés, mais peut-être c'est pas le bon endroit

tu as bien un
RewriteEngine On
au tout début ?
JL

Le 12 mars 2018 à 11:14, JLuc <jluc@no-log.org <mailto:jluc@no-log.org>> a écrit :

    Le 12/03/2018 à 10:41, Fabrice Véronneau a écrit :

        oui mais rien à voir avec notre histroire de log Apache

        Bon j'ai croisé les dates entre Apache Error Log et Access Log et j'ai effectivement des tentatives de connexion
        WP sur un SPIP

        [Mon Mar 12 09:21:02.506818 2018] [proxy_fcgi:error] [pid 20786:tid
        140354011354880] [client <IP>:12827] *AH01071*: Got error
        'Primary script unknown\n'

        Pour :

        <ND> <IP> - - [12/Mar/2018:09:21:02 +0000] (0 s) "GET */wp-login.php*
          HTTP/1.1" 404 16 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0)
        Gecko/20100101 Firefox/40.1"

        Mais le RW que tu as donné ne fonctionne pas.

    bah si...
    peut être tu le met trop tard ?

    JL

        Fa_b

        Le 12 mars 2018 à 09:43, JLuc <jluc@no-log.org <mailto:jluc@no-log.org> <mailto:jluc@no-log.org
        <mailto:jluc@no-log.org>>> a écrit :
          >
          > Le 12/03/2018 à 09:33, Fabrice Véronneau a écrit :
          >>
          >> Ok, je teste cette règle, je vous tiens au courant en fin de journée
          >
          > grosses perturbations chez gandi ce matin
          > http://status.gandi.net/timeline
          >
          > JL
          >
          > ----
          > spip-zone@rezo.net <mailto:spip-zone@rezo.net> <mailto:spip-zone@rezo.net> -
        http://listes.rezo.net/mailman/listinfo/spip-zone

        ----
        spip-zone@rezo.net <mailto:spip-zone@rezo.net> - http://listes.rezo.net/mailman/listinfo/spip-zone
        <http://listes.rezo.net/mailman/listinfo/spip-zone&gt;

    ----
    spip-zone@rezo.net <mailto:spip-zone@rezo.net> - http://listes.rezo.net/mailman/listinfo/spip-zone
    <http://listes.rezo.net/mailman/listinfo/spip-zone&gt;

----
spip-zone@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-zone

Tout à fait, je vais relancer une série de vérifications.
(Je vais retenter, peut-être avais-je mal copié-collé. Comme j’ai des tentatives toutes 10 / 15mn je vais savoir assez vite)

Ça n’a pas trainé, en voici une :
`

<ND> <IP> - - [12/Mar/2018:12:01:52 +0000] (0 s) "GET /**license.php** 
HTTP/1.1" 404 16 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 
Safari/537.36"

Le fait que le fichier **license.php** soit appelé, échappe-t'il à la RW ?

Le 12/03/2018 à 12:17, Fabrice Véronneau a écrit :

Ça n'a pas trainé, en voici une :
|

<ND> <IP> - - [12/Mar/2018:12:01:52 +0000] (0 s) "GET /*license.php *
HTTP/1.1" 404 16 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94
Safari/537.36"

Le fait que le fichier *license.php* soit appelé, échappe-t'il à la RW ?

euh... puisque la rw ne traite que 'wp'
il n'y a aucune raison qu'elle influe sur licence.php

par ailleurs, je ne suis pas persuadé qu'une url demandée et bien redirigée
n'apparaisse pas quand même dans le fichier de log apache
puisque c'est apache qui gère le htaccess

JL

Hmm je constate néanmoins une baisse des tentatives dans les logs Error et des 302 (redirections) pour les wp-login.php dans les Acces Apache

Merci