Connessioni anomale in entrata
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Connessioni anomale in entrata
Buongiorno a tutti,
ho un server HTTP su Ubuntu 18.04.2 LTS
sul quale faccio girare il mio sito web.
E' da un pò che ho continuamente connessioni in entrata da IP Asiatici che cercano visualizzano pagine del sito, ed accedono a pagine inesistenti.
Facendo una verifica sugli IP su google trovo qualche indicazione che si tratta di SPAM
Esiste un modo per poter bloccare tali IP? Nel file .htaccess ne ho bloccato alcuni, ma sono tanti , tutti diversi e cambiano continuamente.
Non so se esiste un qualcosa che riconosca tali indirizzi IP come spam e li blocchi in automatico.
Grazie in anticipo
ho un server HTTP su Ubuntu 18.04.2 LTS
sul quale faccio girare il mio sito web.
E' da un pò che ho continuamente connessioni in entrata da IP Asiatici che cercano visualizzano pagine del sito, ed accedono a pagine inesistenti.
Facendo una verifica sugli IP su google trovo qualche indicazione che si tratta di SPAM
Esiste un modo per poter bloccare tali IP? Nel file .htaccess ne ho bloccato alcuni, ma sono tanti , tutti diversi e cambiano continuamente.
Non so se esiste un qualcosa che riconosca tali indirizzi IP come spam e li blocchi in automatico.
Grazie in anticipo
- steff
- Moderatore Globale
- Messaggi: 40299
- Iscrizione: domenica 18 febbraio 2007, 19:48
- Desktop: LXQt+labwc
- Distribuzione: Arch; Debian; Ubuntu Server
- Sesso: Maschile
- Località: Toscana
- Contatti:
Re: Connessioni anomale in entrata
Su wordpress ci sono dei plugin per bloccare certi paesi che usano un database geo-IP, quindi sì, esiste la possibilità, ma come farlo a manina non saprei dirti.
https://wordpress.org/plugins/ip-geo-block/
https://www.sourcewp.com/best-wordpress ... countries/
https://wordpress.org/plugins/ip-geo-block/
https://www.sourcewp.com/best-wordpress ... countries/
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Connessioni anomale in entrata
Io al momento non sto bloccando interi paesi.
Sul server ho un fail2ban configurato, che aiuta specie per php-furl-open (che nego) e per le richieste in errore oltre http-dos (chiamate dirette sulla 80).
In WP ho un paio di plugin per bloccare tentativi di accesso login e di scansione del sito che possono bloccare anche interi range IP (ve ne sono molti allo scopo).
Per quanto riguarda WP prima di tutto, oltre ai plugin che lo fanno, togliere i permessi a xmlrpc.php, wp-config.php e .htaccess dandogli i permessi 444.
Di recente ho bloccato degli IP che cercavano chiamavano in continuazione wp-login.php mascherando l'accesso a WP con un plugin (hide-login) e bloccando l'accesso a wp-login.php da .htaccess cn fail2ban attivo al terzo tentativo in errore vengono bannati e pare che oggi dopo una decina di giorni la tempesta si sia calmata.
Sulla root ho delle chiamate varie da ip a rotazione veloce che fortunatamente non fanno molto casino.
Per fare altro bisogna un po' vedere a cosa cercano di accedere, per esempio ho tanti tentativi di ricerca di phpmyadmin che quindi è protetto da un .htaccess.
Per la pagine inesietenti con errore 404 provare a configurare in fail2ban anche apache-404, in questo link cerco di farlo:
Fail2ban bloccare IP su errore 404
Sul server ho un fail2ban configurato, che aiuta specie per php-furl-open (che nego) e per le richieste in errore oltre http-dos (chiamate dirette sulla 80).
In WP ho un paio di plugin per bloccare tentativi di accesso login e di scansione del sito che possono bloccare anche interi range IP (ve ne sono molti allo scopo).
Per quanto riguarda WP prima di tutto, oltre ai plugin che lo fanno, togliere i permessi a xmlrpc.php, wp-config.php e .htaccess dandogli i permessi 444.
Di recente ho bloccato degli IP che cercavano chiamavano in continuazione wp-login.php mascherando l'accesso a WP con un plugin (hide-login) e bloccando l'accesso a wp-login.php da .htaccess cn fail2ban attivo al terzo tentativo in errore vengono bannati e pare che oggi dopo una decina di giorni la tempesta si sia calmata.
Codice: Seleziona tutto
<Files wp-login.php>
order deny,allow
deny from all
</Files>
Per fare altro bisogna un po' vedere a cosa cercano di accedere, per esempio ho tanti tentativi di ricerca di phpmyadmin che quindi è protetto da un .htaccess.
Per la pagine inesietenti con errore 404 provare a configurare in fail2ban anche apache-404, in questo link cerco di farlo:
Fail2ban bloccare IP su errore 404
-------------
S. @-M.
-------------
S. @-M.
-------------
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Ciao e grazie a tutti per le risposte..
Sto lavorando a mano sul .htaccess
Ma c'è un IP che ho bloccato e che cmq riesce ad accedere
Come lo posso bannare ulteriormente?
Grazie ancora...
Sto lavorando a mano sul .htaccess
Ma c'è un IP che ho bloccato e che cmq riesce ad accedere
Come lo posso bannare ulteriormente?
Grazie ancora...
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Connessioni anomale in entrata
Non è per niente comodo quando (praticamente sempre) sono tanti, ma se il tuo problema è uno solo prova con iptables
sostituendo "indirizzo" con l'IP che vuoi bloccare
ciao
Codice: Seleziona tutto
iptables -I INPUT -s indirizzo -j DROP
ciao
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Grazie mille...Stealth [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126682#p5126682][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Non è per niente comodo quando (praticamente sempre) sono tanti, ma se il tuo problema è uno solo prova con iptablessostituendo "indirizzo" con l'IP che vuoi bloccareCodice: Seleziona tutto
iptables -I INPUT -s indirizzo -j DROP
ciao
Se posso approfittare, eventualmente per ripristinare l'accesso all'indirizzo IP quale è il comando da utilizzare?
Grazie ancora..
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Connessioni anomale in entrata
Lo commenti (cancelletto a inizio riga), lo cancelli, impedisci allo script di avviarsi... Non so cosa usi per configurare il firewall, quindi non so risponderegennysa [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126695#p5126695][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Grazie mille...
Se posso approfittare, eventualmente per ripristinare l'accesso all'indirizzo IP quale è il comando da utilizzare?
Grazie ancora..
ciao
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Grazie per la risposta... per la cronaca ho usato il seguente comando (da terminale)
Grazie mille!
Codice: Seleziona tutto
iptables -I INPUT -s indirizzo -j ACCEPT
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Connessioni anomale in entrata
Eh, ma non è la stessa cosa. Come e con cosa configuri il tuo firewall. La I (di insert) nel comando è diversa dalla A (di append) e dalla F (di flush) e dalla D (per delete). Un conto è bannarlo e un altro è autorizzarlo, anche se sembrano l'uno il contrario dell'altro non lo sono. Facendo in quel modo autorizzi esplicitamente proprio quell'IP ad accedere al tuo server, senza distinzione di porta e quindi di servizio. Ma ripeto, solo te sai se c'è un firewall e come è fatto, quindi vedi tegennysa [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126703#p5126703][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Grazie per la risposta... per la cronaca ho usato il seguente comando (da terminale) ...
ciao
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Aiuto...
allora, non ho nessun firewall, a meno che la configurazione standard di Ubuntu lo preveda...
Sono a zero in merito, se acquisto un firewall da collegare al router, posso risolvere qualcosa?
Hai qualche modello da consigliarmi? I firewall in vendita, eventualmente, riconoscono in automatico gli IP Spam ?
Ti chiedo una gentilezza, ho paura di incasinare tutto..
Che comando posso utilizzare per iptables in modo da eliminare gli ip inseriti?
Dovrebbe essere questo..
Grazie ancora
allora, non ho nessun firewall, a meno che la configurazione standard di Ubuntu lo preveda...
Sono a zero in merito, se acquisto un firewall da collegare al router, posso risolvere qualcosa?
Hai qualche modello da consigliarmi? I firewall in vendita, eventualmente, riconoscono in automatico gli IP Spam ?
Ti chiedo una gentilezza, ho paura di incasinare tutto..
Che comando posso utilizzare per iptables in modo da eliminare gli ip inseriti?
Dovrebbe essere questo..
Codice: Seleziona tutto
iptables -D INPUT -s xx.xxx.xx.xx -j DROP
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Connessioni anomale in entrata
Vado un po' di fretta, ma la prima cosa ad sapere è se hai accesso fisico alla macchina. Se il server è in casa tua è un conto, altrimenti non toccare iptables a meno di sapere esattamente cosa stai facendo, trovarsi buttati fuori è un attimo. Se il server è remoto e hai pazienza vediamo di scrivere unno scriptino, da avviare con crontab, che resetti il firewall in caso di errori e ti permetta nuovamente l'accesso. Per sapere cosa c'è di impostato sul tuo server puoi intanto dare il comando (da root o con sudo davanti)
ciao
Codice: Seleziona tutto
iptables -vnL
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Ciao,
il server è in ufficio.
Questa è la configurazione avuta dal comando -vnL
(ma non sono più presenti gli IP bloccati ieri.. )
Grazie mille
il server è in ufficio.
Questa è la configurazione avuta dal comando -vnL
(ma non sono più presenti gli IP bloccati ieri.. )
Codice: Seleziona tutto
Chain INPUT (policy ACCEPT 5 packets, 260 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Connessioni anomale in entrata
Ottimo. Se è in ufficio immagino sia dietro ad un router, su cui avrai impostato un port forwarding sulla porta 80, che dovrebbe avere un suo firewall. Confermami questa cosa perchè, se così fosse, probabilmente non avrai bisogno di iptables (o al massimo di 2 o 3 righe perchè non ci fidiamo del router) e sarebbe più indicato qualcosa come fail2bangennysa ha scritto:Ciao,
il server è in ufficio.
...
ciao
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Ciao,
dal router aperte le porte 80 e 443
Grazie ancora...
dal router aperte le porte 80 e 443
Grazie ancora...
- Stealth
- Tenace Tecnocrate
- Messaggi: 17342
- Iscrizione: martedì 31 gennaio 2006, 22:55
- Desktop: Gnome
- Distribuzione: Ubuntu 22.04 LTS
Re: Connessioni anomale in entrata
Fai una ricerca su fail2ban apache e anche, più in generale, su hardening apache, che non fa mai male. Nei prossimi giorni avrò pochissimo tempo, ma intanto puoi documentarti e chiedere in caso di dubbi, ci sono alcuni utenti che conoscono la materia molto meglio di me
ciao
ciao
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Grazie mille di tutto il supporto.
Ho letto le guide per fail2ban e hardening e non è (per fortuna) complicato configurare il tutto.
Intanto avevo pensato di acquistare anche il seguente prodotto (Il modello T35)
Firewall
E' una buona idea o sono soldi sprecati?
Grazie ancora...
Ho letto le guide per fail2ban e hardening e non è (per fortuna) complicato configurare il tutto.
Intanto avevo pensato di acquistare anche il seguente prodotto (Il modello T35)
Firewall
E' una buona idea o sono soldi sprecati?
Grazie ancora...
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Connessioni anomale in entrata
Hai un solo sito web su due porte aperte, la 80 e 443 ed accesso da un solo IP.
Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.
Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.
Codice: Seleziona tutto
order allow,deny
deny from 54.38.255.116/24
deny from 46.161.9.
deny from 78.36.196.64
deny from bad-isp.com
allow from all
-------------
S. @-M.
-------------
S. @-M.
-------------
-
- Prode Principiante
- Messaggi: 89
- Iscrizione: giovedì 9 luglio 2015, 21:45
- Distribuzione: Ubuntu 18.04 LTS
- Sesso: Maschile
Re: Connessioni anomale in entrata
Ciao,Sam9999 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126984#p5126984][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Hai un solo sito web su due porte aperte, la 80 e 443 ed accesso da un solo IP.
Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.Codice: Seleziona tutto
order allow,deny deny from 54.38.255.116/24 deny from 46.161.9. deny from 78.36.196.64 deny from bad-isp.com allow from all
forse ho capito..
Allora l'indirizzo IP bloccato in .htaccess (nella root del sito) probabilmente non accede al sito, ma ad altro?
Me lo ritrovo nel LOG di Apache...
Per bloccarlo su tutto, devo inserirlo come "deny from" nella configurazione di apache2?
Ho altri 2/3 domini configurati su questo server (con solo la pagina di default di apache) forse entra li? (anzi credo sia molto probabile)
Grazie
- Sam9999
- Entusiasta Emergente
- Messaggi: 1983
- Iscrizione: lunedì 9 giugno 2014, 8:59
- Desktop: Studio Xfce
- Distribuzione: Ubuntu 20.04 LTS (Focal)
- Località: BO
- Contatti:
Re: Connessioni anomale in entrata
Alle volte anche alla home del server richiamando su IP.
Certo che dipende da in quale log li ritrovi, nei log di apache c'è né uno per ogni sito, se hai configurato in tal senso.
Quindi se blocchi a un sito certo che possono entrare su un altro sito web, allora si blocca in IPtables e blocca su tutto il server e per le porte che gli dici, negli esempi sopra su tutte le porte.
Certo che dipende da in quale log li ritrovi, nei log di apache c'è né uno per ogni sito, se hai configurato in tal senso.
Quindi se blocchi a un sito certo che possono entrare su un altro sito web, allora si blocca in IPtables e blocca su tutto il server e per le porte che gli dici, negli esempi sopra su tutte le porte.
-------------
S. @-M.
-------------
S. @-M.
-------------
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 11 ospiti