Neu Apache Protokoll GuzzleHttp/GET Fehler

[SevenDev]

Es gibt in einem JTL Shop 5.6.1 ein auffälliges Verhalten.

Fehlerbild:
Sobald man im Backend unter
Einstellungen → Templates → NOVA
auf Speichern klickt, wird im Apache- Log folgender Zugriff protokolliert:

Error 503 GET /versions.json HTTP/1.0 GuzzleHttp/7 SSL/TLS-Zugriff für Apache

Der Zugriff wird als SSL/TLS-Zugriff geloggt, die IP-Adresse entspricht der Server-IPv6 selbst (kein externer Zugriff).

Die Datei versions.json existiert aber auch garnicht…

Falls jemand weiß, warum genau dieser Request im Code ausgelöst wird oder welche Konfiguration hierfür relevant ist bzw. wo das Problem liegt wäre ich für Hinweise sehr dankbar.

 

[NoOne]

Guzzle ist die library, die der Shop benutzt, um http Requests zu senden. Es gibt Hoster, die blockieren Guzzle als User-Agent, weil das auch gern mal von Bots verwendet wird. Dein Hoster macht das vermutlich und gibt ein 503 (=service unavailable) zurück. Das wäre z. B. auch typisch für ein Rate Limiting. Sollte generell von der eigenen Server-IP eigentlich erlaubt werden.

Der request dazu kommt aus der /includes/src/Backend/Upgrade/Release/ReleaseDownloader.php

Scheint für einen AutoUpdater zu sein. Dazu sind schon dinge im Code, aber vollständig implementiert ist er wohl noch nicht.

Hab da kurz mal durch den Code gestöbert. Wenn man SHOW_UPGRADER als define auf true setzt, dann kann man /admin/upgrade aufrufen. Dafür wird die versions.json definitiv gebraucht. Noch wird die aber wohl nirgends runtergeladen. Die übrigen Aufrufe sind dann vermutlich um zu prüfen, ob eine neuere Version da ist, damit man ein mögliches Update oder Upgrade im Backend anzeigen kann.

 

[SevenDev]

@NoOne vielen Dank!

Ich glaube/denke es ist kein Block oder Rate Limiting…

Sobald man die Datei manuell (leer neu anlege) ist ruhe mit dem Error und es kommt zum 200. Sie existiert halt nicht!

 

[NoOne]

Hmm... 503 nur für eine nicht existierende Datei ist aber auch ungewöhnlich. 404 sollte das dann eigentlich sein. Aber gut, wenns mit leerer Datei klappt, warum nicht...

 

[NoOne]

Ich hab noch bissel gestöbert. Wenn der Aufruf stört, dann kann in der /includes/src/Router/Controller/Backend/IOController.php die Zeile 95 auskommentiert werden:

//$this->registerUpgrader($io);

Soweit ich das sehe, wird das keine Auswirkungen auf das Shop-Backend haben, außer, dass nicht mehr versucht wird, die versions.json zu lesen. Anwendung natürlich auf eigene Gefahr...

 

[SevenDev]

Ganz verstehen kann ich es ehrlich gesagt noch nicht und wirklich nachvollziehbar ist es für mich ebenfalls nicht, allerdings zeigt es zumindest, dass das Problem an der fehlenden Datei liegt.

Es handelt sich um eine Plesk-Umgebung (vielleicht hilft diese Information weiter).

Dann müsste das ja aber theoretisch jeder haben…

Wenn ich mir den log komplett anschaue, dann existieren auch vereinzelte 404! Wie es zum 503 kommt, keine Ahnung… Plesk Nginx → Apache/PHP → ggf. WAF/Rules?

 

[NoOne]

Es könnte theoretisch auch eine relativ starke Einschränkung sein, joa. Also dass nicht alles mit guzzle als User-Agent geblockt wird, sondern, nur wenn so ein User-Agent eine URL aufrufen möchte, die nicht existiert. Oder bestimmte Dateitypen, z. B. um das Abklopfen auf Sicherheitslücken einzuschränken.

 

[SevenDev]

Noch habe ich nicht gefunden was es auslösen könnte!

Anfangs dachte ich, was ist den nun los?! Saubere Neuinstallation und gleich ein Fehler… bist ich herausgefunden habe was es auslöst und das die Datei halt einfach nicht existiert.

Dann fängt man an zu spielen und geht auf die Suche! Mann möchte es ja auch verstehen können…

ReleaseDownloader.php habe ich auch gefunden aber dann reicht mein Wissen nicht mehr aus um zu verstehen was dahinter steckt.