Connessioni anomale in entrata

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns e altro.
Scrivi risposta
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Connessioni anomale in entrata

Messaggio da gennysa »

Buongiorno a tutti,
ho un server HTTP su Ubuntu 18.04.2 LTS
sul quale faccio girare il mio sito web.
E' da un pò che ho continuamente connessioni in entrata da IP Asiatici che cercano visualizzano pagine del sito, ed accedono a pagine inesistenti.
Facendo una verifica sugli IP su google trovo qualche indicazione che si tratta di SPAM
Esiste un modo per poter bloccare tali IP? Nel file .htaccess ne ho bloccato alcuni, ma sono tanti , tutti diversi e cambiano continuamente.
Non so se esiste un qualcosa che riconosca tali indirizzi IP come spam e li blocchi in automatico.
Grazie in anticipo
Avatar utente
steff
Moderatore Globale
Moderatore Globale
Messaggi: 40299
Iscrizione: domenica 18 febbraio 2007, 19:48
Desktop: LXQt+labwc
Distribuzione: Arch; Debian; Ubuntu Server
Sesso: Maschile
Località: Toscana
Contatti:

Re: Connessioni anomale in entrata

Messaggio da steff »

Su wordpress ci sono dei plugin per bloccare certi paesi che usano un database geo-IP, quindi sì, esiste la possibilità, ma come farlo a manina non saprei dirti.
https://wordpress.org/plugins/ip-geo-block/
https://www.sourcewp.com/best-wordpress ... countries/
Hai fatto un backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Connessioni anomale in entrata

Messaggio da Sam9999 »

Io al momento non sto bloccando interi paesi.
Sul server ho un fail2ban configurato, che aiuta specie per php-furl-open (che nego) e per le richieste in errore oltre http-dos (chiamate dirette sulla 80).
In WP ho un paio di plugin per bloccare tentativi di accesso login e di scansione del sito che possono bloccare anche interi range IP (ve ne sono molti allo scopo).
Per quanto riguarda WP prima di tutto, oltre ai plugin che lo fanno, togliere i permessi a xmlrpc.php, wp-config.php e .htaccess dandogli i permessi 444.
Di recente ho bloccato degli IP che cercavano chiamavano in continuazione wp-login.php mascherando l'accesso a WP con un plugin (hide-login) e bloccando l'accesso a wp-login.php da .htaccess cn fail2ban attivo al terzo tentativo in errore vengono bannati e pare che oggi dopo una decina di giorni la tempesta si sia calmata.

Codice: Seleziona tutto

<Files wp-login.php>
order deny,allow
deny from all
</Files>
Sulla root ho delle chiamate varie da ip a rotazione veloce che fortunatamente non fanno molto casino.
Per fare altro bisogna un po' vedere a cosa cercano di accedere, per esempio ho tanti tentativi di ricerca di phpmyadmin che quindi è protetto da un .htaccess.

Per la pagine inesietenti con errore 404 provare a configurare in fail2ban anche apache-404, in questo link cerco di farlo:

Fail2ban bloccare IP su errore 404
-------------
S. @-M.
-------------
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Ciao e grazie a tutti per le risposte..
Sto lavorando a mano sul .htaccess
Ma c'è un IP che ho bloccato e che cmq riesce ad accedere :( :(
Come lo posso bannare ulteriormente?
Grazie ancora...
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Connessioni anomale in entrata

Messaggio da Stealth »

Non è per niente comodo quando (praticamente sempre) sono tanti, ma se il tuo problema è uno solo prova con iptables

Codice: Seleziona tutto

iptables -I INPUT -s indirizzo -j DROP
sostituendo "indirizzo" con l'IP che vuoi bloccare
ciao
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Stealth [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126682#p5126682][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Non è per niente comodo quando (praticamente sempre) sono tanti, ma se il tuo problema è uno solo prova con iptables

Codice: Seleziona tutto

iptables -I INPUT -s indirizzo -j DROP
sostituendo "indirizzo" con l'IP che vuoi bloccare
ciao
Grazie mille...
Se posso approfittare, eventualmente per ripristinare l'accesso all'indirizzo IP quale è il comando da utilizzare?
Grazie ancora..
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Connessioni anomale in entrata

Messaggio da Stealth »

gennysa [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126695#p5126695][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Grazie mille...
Se posso approfittare, eventualmente per ripristinare l'accesso all'indirizzo IP quale è il comando da utilizzare?
Grazie ancora..
Lo commenti (cancelletto a inizio riga), lo cancelli, impedisci allo script di avviarsi... Non so cosa usi per configurare il firewall, quindi non so rispondere
ciao
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Grazie per la risposta... per la cronaca ho usato il seguente comando (da terminale)

Codice: Seleziona tutto

iptables -I INPUT -s indirizzo -j ACCEPT
Grazie mille!
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Connessioni anomale in entrata

Messaggio da Stealth »

gennysa [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126703#p5126703][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Grazie per la risposta... per la cronaca ho usato il seguente comando (da terminale) ...
Eh, ma non è la stessa cosa. Come e con cosa configuri il tuo firewall. La I (di insert) nel comando è diversa dalla A (di append) e dalla F (di flush) e dalla D (per delete). Un conto è bannarlo e un altro è autorizzarlo, anche se sembrano l'uno il contrario dell'altro non lo sono. Facendo in quel modo autorizzi esplicitamente proprio quell'IP ad accedere al tuo server, senza distinzione di porta e quindi di servizio. Ma ripeto, solo te sai se c'è un firewall e come è fatto, quindi vedi te
ciao
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Aiuto...
allora, non ho nessun firewall, a meno che la configurazione standard di Ubuntu lo preveda...
Sono a zero in merito, se acquisto un firewall da collegare al router, posso risolvere qualcosa?
Hai qualche modello da consigliarmi? I firewall in vendita, eventualmente, riconoscono in automatico gli IP Spam ?

Ti chiedo una gentilezza, ho paura di incasinare tutto..
Che comando posso utilizzare per iptables in modo da eliminare gli ip inseriti?
Dovrebbe essere questo..

Codice: Seleziona tutto

iptables -D INPUT -s xx.xxx.xx.xx -j DROP
Grazie ancora
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Connessioni anomale in entrata

Messaggio da Stealth »

Vado un po' di fretta, ma la prima cosa ad sapere è se hai accesso fisico alla macchina. Se il server è in casa tua è un conto, altrimenti non toccare iptables a meno di sapere esattamente cosa stai facendo, trovarsi buttati fuori è un attimo. Se il server è remoto e hai pazienza vediamo di scrivere unno scriptino, da avviare con crontab, che resetti il firewall in caso di errori e ti permetta nuovamente l'accesso. Per sapere cosa c'è di impostato sul tuo server puoi intanto dare il comando (da root o con sudo davanti)

Codice: Seleziona tutto

iptables -vnL
ciao
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Ciao,
il server è in ufficio.
Questa è la configurazione avuta dal comando -vnL

(ma non sono più presenti gli IP bloccati ieri.. :muro: )

Codice: Seleziona tutto

Chain INPUT (policy ACCEPT 5 packets, 260 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
Grazie mille
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Connessioni anomale in entrata

Messaggio da Stealth »

gennysa ha scritto:Ciao,
il server è in ufficio.
...
Ottimo. Se è in ufficio immagino sia dietro ad un router, su cui avrai impostato un port forwarding sulla porta 80, che dovrebbe avere un suo firewall. Confermami questa cosa perchè, se così fosse, probabilmente non avrai bisogno di iptables (o al massimo di 2 o 3 righe perchè non ci fidiamo del router) e sarebbe più indicato qualcosa come fail2ban
ciao
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Ciao,
dal router aperte le porte 80 e 443
Grazie ancora...
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Connessioni anomale in entrata

Messaggio da Stealth »

Fai una ricerca su fail2ban apache e anche, più in generale, su hardening apache, che non fa mai male. Nei prossimi giorni avrò pochissimo tempo, ma intanto puoi documentarti e chiedere in caso di dubbi, ci sono alcuni utenti che conoscono la materia molto meglio di me
ciao
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Grazie mille di tutto il supporto.
Ho letto le guide per fail2ban e hardening e non è (per fortuna) complicato configurare il tutto.

Intanto avevo pensato di acquistare anche il seguente prodotto (Il modello T35)

Firewall

E' una buona idea o sono soldi sprecati?

Grazie ancora...
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Connessioni anomale in entrata

Messaggio da Sam9999 »

Hai un solo sito web su due porte aperte, la 80 e 443 ed accesso da un solo IP.

Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.

Codice: Seleziona tutto

order allow,deny
deny from 54.38.255.116/24
deny from 46.161.9.
deny from 78.36.196.64
deny from bad-isp.com
allow from all
-------------
S. @-M.
-------------
gennysa
Prode Principiante
Messaggi: 89
Iscrizione: giovedì 9 luglio 2015, 21:45
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggio da gennysa »

Sam9999 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5126984#p5126984][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Hai un solo sito web su due porte aperte, la 80 e 443 ed accesso da un solo IP.

Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.

Codice: Seleziona tutto

order allow,deny
deny from 54.38.255.116/24
deny from 46.161.9.
deny from 78.36.196.64
deny from bad-isp.com
allow from all
Ciao,
forse ho capito..
Allora l'indirizzo IP bloccato in .htaccess (nella root del sito) probabilmente non accede al sito, ma ad altro?
Me lo ritrovo nel LOG di Apache...
Per bloccarlo su tutto, devo inserirlo come "deny from" nella configurazione di apache2?
Ho altri 2/3 domini configurati su questo server (con solo la pagina di default di apache) forse entra li? (anzi credo sia molto probabile)
Grazie
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1983
Iscrizione: lunedì 9 giugno 2014, 8:59
Desktop: Studio Xfce
Distribuzione: Ubuntu 20.04 LTS (Focal)
Località: BO
Contatti:

Re: Connessioni anomale in entrata

Messaggio da Sam9999 »

Alle volte anche alla home del server richiamando su IP.

Certo che dipende da in quale log li ritrovi, nei log di apache c'è né uno per ogni sito, se hai configurato in tal senso.
Quindi se blocchi a un sito certo che possono entrare su un altro sito web, allora si blocca in IPtables e blocca su tutto il server e per le porte che gli dici, negli esempi sopra su tutte le porte.
-------------
S. @-M.
-------------
Scrivi risposta

Ritorna a “Ubuntu su server”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 11 ospiti