Connessioni anomale in entrata

Installazione, configurazione e uso di Ubuntu come server: web, ftp, mail, news, proxy, dns, ecc.

Connessioni anomale in entrata

Messaggioda gennysa » domenica 31 marzo 2019, 14:03

Buongiorno a tutti,
ho un server HTTP su Ubuntu 18.04.2 LTS
sul quale faccio girare il mio sito web.
E' da un pò che ho continuamente connessioni in entrata da IP Asiatici che cercano visualizzano pagine del sito, ed accedono a pagine inesistenti.
Facendo una verifica sugli IP su google trovo qualche indicazione che si tratta di SPAM
Esiste un modo per poter bloccare tali IP? Nel file .htaccess ne ho bloccato alcuni, ma sono tanti , tutti diversi e cambiano continuamente.
Non so se esiste un qualcosa che riconosca tali indirizzi IP come spam e li blocchi in automatico.
Grazie in anticipo
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda steff » lunedì 1 aprile 2019, 7:50

Su wordpress ci sono dei plugin per bloccare certi paesi che usano un database geo-IP, quindi sì, esiste la possibilità, ma come farlo a manina non saprei dirti.
https://wordpress.org/plugins/ip-geo-block/
https://www.sourcewp.com/best-wordpress ... countries/
Hai fatto il backup oggi? Ieri?? Quando???
La Documentazione da consultare e la FAQ sul uso del forum
Sistemi: LXQt - semplice, modulare e configurabile + *ubuntu in Vbox
Avatar utente
steff
Moderatore Globale
Moderatore Globale
 
Messaggi: 37562
Iscrizione: febbraio 2007
Località: Toscana
Desktop: LXQt
Distribuzione: Arch Linux 64bit
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Sam9999 » lunedì 1 aprile 2019, 8:39

Io al momento non sto bloccando interi paesi.
Sul server ho un fail2ban configurato, che aiuta specie per php-furl-open (che nego) e per le richieste in errore oltre http-dos (chiamate dirette sulla 80).
In WP ho un paio di plugin per bloccare tentativi di accesso login e di scansione del sito che possono bloccare anche interi range IP (ve ne sono molti allo scopo).
Per quanto riguarda WP prima di tutto, oltre ai plugin che lo fanno, togliere i permessi a xmlrpc.php, wp-config.php e .htaccess dandogli i permessi 444.
Di recente ho bloccato degli IP che cercavano chiamavano in continuazione wp-login.php mascherando l'accesso a WP con un plugin (hide-login) e bloccando l'accesso a wp-login.php da .htaccess cn fail2ban attivo al terzo tentativo in errore vengono bannati e pare che oggi dopo una decina di giorni la tempesta si sia calmata.
Codice: Seleziona tutto
<Files wp-login.php>
order deny,allow
deny from all
</Files>


Sulla root ho delle chiamate varie da ip a rotazione veloce che fortunatamente non fanno molto casino.
Per fare altro bisogna un po' vedere a cosa cercano di accedere, per esempio ho tanti tentativi di ricerca di phpmyadmin che quindi è protetto da un .htaccess.

Per la pagine inesietenti con errore 404 provare a configurare in fail2ban anche apache-404, in questo link cerco di farlo:

Fail2ban bloccare IP su errore 404
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1413
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.04 (Disco Dingo)

Re: Connessioni anomale in entrata

Messaggioda gennysa » giovedì 4 aprile 2019, 11:44

Ciao e grazie a tutti per le risposte..
Sto lavorando a mano sul .htaccess
Ma c'è un IP che ho bloccato e che cmq riesce ad accedere :( :(
Come lo posso bannare ulteriormente?
Grazie ancora...
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Stealth » giovedì 4 aprile 2019, 14:15

Non è per niente comodo quando (praticamente sempre) sono tanti, ma se il tuo problema è uno solo prova con iptables
Codice: Seleziona tutto
iptables -I INPUT -s indirizzo -j DROP

sostituendo "indirizzo" con l'IP che vuoi bloccare
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15897
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Connessioni anomale in entrata

Messaggioda gennysa » giovedì 4 aprile 2019, 15:45

Stealth Immagine ha scritto:Non è per niente comodo quando (praticamente sempre) sono tanti, ma se il tuo problema è uno solo prova con iptables
Codice: Seleziona tutto
iptables -I INPUT -s indirizzo -j DROP

sostituendo "indirizzo" con l'IP che vuoi bloccare
ciao


Grazie mille...
Se posso approfittare, eventualmente per ripristinare l'accesso all'indirizzo IP quale è il comando da utilizzare?
Grazie ancora..
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Stealth » giovedì 4 aprile 2019, 16:05

gennysa Immagine ha scritto:Grazie mille...
Se posso approfittare, eventualmente per ripristinare l'accesso all'indirizzo IP quale è il comando da utilizzare?
Grazie ancora..

Lo commenti (cancelletto a inizio riga), lo cancelli, impedisci allo script di avviarsi... Non so cosa usi per configurare il firewall, quindi non so rispondere
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15897
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Connessioni anomale in entrata

Messaggioda gennysa » giovedì 4 aprile 2019, 16:24

Grazie per la risposta... per la cronaca ho usato il seguente comando (da terminale)

Codice: Seleziona tutto
iptables -I INPUT -s indirizzo -j ACCEPT


Grazie mille!
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Stealth » giovedì 4 aprile 2019, 18:59

gennysa Immagine ha scritto:Grazie per la risposta... per la cronaca ho usato il seguente comando (da terminale) ...

Eh, ma non è la stessa cosa. Come e con cosa configuri il tuo firewall. La I (di insert) nel comando è diversa dalla A (di append) e dalla F (di flush) e dalla D (per delete). Un conto è bannarlo e un altro è autorizzarlo, anche se sembrano l'uno il contrario dell'altro non lo sono. Facendo in quel modo autorizzi esplicitamente proprio quell'IP ad accedere al tuo server, senza distinzione di porta e quindi di servizio. Ma ripeto, solo te sai se c'è un firewall e come è fatto, quindi vedi te
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15897
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Connessioni anomale in entrata

Messaggioda gennysa » giovedì 4 aprile 2019, 20:25

Aiuto...
allora, non ho nessun firewall, a meno che la configurazione standard di Ubuntu lo preveda...
Sono a zero in merito, se acquisto un firewall da collegare al router, posso risolvere qualcosa?
Hai qualche modello da consigliarmi? I firewall in vendita, eventualmente, riconoscono in automatico gli IP Spam ?

Ti chiedo una gentilezza, ho paura di incasinare tutto..
Che comando posso utilizzare per iptables in modo da eliminare gli ip inseriti?
Dovrebbe essere questo..

Codice: Seleziona tutto
iptables -D INPUT -s xx.xxx.xx.xx -j DROP


Grazie ancora
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Stealth » venerdì 5 aprile 2019, 7:33

Vado un po' di fretta, ma la prima cosa ad sapere è se hai accesso fisico alla macchina. Se il server è in casa tua è un conto, altrimenti non toccare iptables a meno di sapere esattamente cosa stai facendo, trovarsi buttati fuori è un attimo. Se il server è remoto e hai pazienza vediamo di scrivere unno scriptino, da avviare con crontab, che resetti il firewall in caso di errori e ti permetta nuovamente l'accesso. Per sapere cosa c'è di impostato sul tuo server puoi intanto dare il comando (da root o con sudo davanti)
Codice: Seleziona tutto
iptables -vnL

ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15897
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Connessioni anomale in entrata

Messaggioda gennysa » venerdì 5 aprile 2019, 8:40

Ciao,
il server è in ufficio.
Questa è la configurazione avuta dal comando -vnL

(ma non sono più presenti gli IP bloccati ieri.. :muro: )

Codice: Seleziona tutto
Chain INPUT (policy ACCEPT 5 packets, 260 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination


Grazie mille
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Stealth » venerdì 5 aprile 2019, 15:04

gennysa ha scritto:Ciao,
il server è in ufficio.
...

Ottimo. Se è in ufficio immagino sia dietro ad un router, su cui avrai impostato un port forwarding sulla porta 80, che dovrebbe avere un suo firewall. Confermami questa cosa perchè, se così fosse, probabilmente non avrai bisogno di iptables (o al massimo di 2 o 3 righe perchè non ci fidiamo del router) e sarebbe più indicato qualcosa come fail2ban
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15897
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Connessioni anomale in entrata

Messaggioda gennysa » venerdì 5 aprile 2019, 16:24

Ciao,
dal router aperte le porte 80 e 443
Grazie ancora...
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Stealth » venerdì 5 aprile 2019, 23:27

Fai una ricerca su fail2ban apache e anche, più in generale, su hardening apache, che non fa mai male. Nei prossimi giorni avrò pochissimo tempo, ma intanto puoi documentarti e chiedere in caso di dubbi, ci sono alcuni utenti che conoscono la materia molto meglio di me
ciao
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
 
Messaggi: 15897
Iscrizione: gennaio 2006
Desktop: Gnome
Distribuzione: Ubuntu 18.04 LTS

Re: Connessioni anomale in entrata

Messaggioda gennysa » sabato 6 aprile 2019, 15:46

Grazie mille di tutto il supporto.
Ho letto le guide per fail2ban e hardening e non è (per fortuna) complicato configurare il tutto.

Intanto avevo pensato di acquistare anche il seguente prodotto (Il modello T35)

Firewall

E' una buona idea o sono soldi sprecati?

Grazie ancora...
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Sam9999 » sabato 6 aprile 2019, 15:54

Hai un solo sito web su due porte aperte, la 80 e 443 ed accesso da un solo IP.

Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.
Codice: Seleziona tutto
order allow,deny
deny from 54.38.255.116/24
deny from 46.161.9.
deny from 78.36.196.64
deny from bad-isp.com
allow from all
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1413
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.04 (Disco Dingo)

Re: Connessioni anomale in entrata

Messaggioda gennysa » sabato 6 aprile 2019, 17:27

Sam9999 Immagine ha scritto:Hai un solo sito web su due porte aperte, la 80 e 443 ed accesso da un solo IP.

Per il fatto che non riesci a bloccare il singolo IP in .htaccess io lo escluderei in quanto si bloccano benissimo, avrai scritto male qualcosa.
Invece singoli IP sempre forse configurati male in IPTABLES non venivano bloccati, in .htaccess sempre sono stati poi bloccati.
Esempio in .htaccess per bloccare un IP o dominio.
Codice: Seleziona tutto
order allow,deny
deny from 54.38.255.116/24
deny from 46.161.9.
deny from 78.36.196.64
deny from bad-isp.com
allow from all


Ciao,
forse ho capito..
Allora l'indirizzo IP bloccato in .htaccess (nella root del sito) probabilmente non accede al sito, ma ad altro?
Me lo ritrovo nel LOG di Apache...
Per bloccarlo su tutto, devo inserirlo come "deny from" nella configurazione di apache2?
Ho altri 2/3 domini configurati su questo server (con solo la pagina di default di apache) forse entra li? (anzi credo sia molto probabile)
Grazie
gennysa
Prode Principiante
 
Messaggi: 78
Iscrizione: luglio 2015
Distribuzione: Ubuntu 18.04 LTS
Sesso: Maschile

Re: Connessioni anomale in entrata

Messaggioda Sam9999 » sabato 6 aprile 2019, 20:08

Alle volte anche alla home del server richiamando su IP.

Certo che dipende da in quale log li ritrovi, nei log di apache c'è né uno per ogni sito, se hai configurato in tal senso.
Quindi se blocchi a un sito certo che possono entrare su un altro sito web, allora si blocca in IPtables e blocca su tutto il server e per le porte che gli dici, negli esempi sopra su tutte le porte.
-------------
S. @-M.
-------------
Avatar utente
Sam9999
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1413
Iscrizione: giugno 2014
Località: BO
Desktop: Studio Xfce
Distribuzione: Ubuntu 19.04 (Disco Dingo)


Torna a Ubuntu su server

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 3 ospiti