Ubuntu-fr

xpertiz

Impossible de bloquer une ipv4 [RESOLU]

Bonjour, j'essaye de bloquer l'ip d'un petit malin qui me fait une attaque DOS

j'ai bloqué au niveau d'apache 2 dans .htaccess

Require all granted
Require not ip xxx.xxx.xxx.xxx

j'ai bloqué au niveau de uwf
sudo ufw deny from xxx.xxx.xxx.xxx to any

et pourtant cet ip continue d’apparaître dans mon /server-status apache2

Comment est-ce possible ?

Dernière modification par xpertiz (Le 21/01/2023, à 15:03)

bruno

Re : Impossible de bloquer une ipv4 [RESOLU]

Bonjour,

C'est possible si cette machine est toujours connectée au serveur web.
Ceci dit, tu vas perdre beaucoup de temps et d'énergie si tu t'amuses à bloquer ainsi des IP.

Est-ce réellement une attaque DOS ? Ou est-ce un simple script à le recherche de vulnérabilités sur un site web ?

xpertiz

Re : Impossible de bloquer une ipv4 [RESOLU]

il cherche à me passer des arguments en post et en get. Il arrivera à rien, mais en attendant il me fait chauffer mon apache... Il passe toujours sur la même ip

matrix-bx

Re : Impossible de bloquer une ipv4 [RESOLU]

Bonjour, j'essaye de bloquer l'ip d'un petit malin qui me fait une attaque DOS

j'ai bloqué au niveau d'apache 2 dans .htaccess

Require all granted
Require not ip xxx.xxx.xxx.xxx

j'ai bloqué au niveau de uwf
sudo ufw deny from xxx.xxx.xxx.xxx to any

et pourtant cet ip continue d’apparaître dans mon /server-status apache2

Comment est-ce possible ?

Salut xpertiz
Tu as "reload" (voir restart) apache pour prendre en compte ta modif ?
Au pire, voir la commande "ss" pour tuer la connexion (d'après cette page)

Kill IPv4 or IPv6 Socket Connection with destination IP 192.168.1.17 and destination port 8080
$ ss --kill dst [192.168.1.17] dport = [8080]

Tu peux aussi "blackholer" cette ip, t'aura la paix.
Je ne suis pas sûr de la syntaxe n'ayant pas de linux sous la main, de mémoire donc (à refaire après reboot) :

ip route blackhole <adresse_ip>

Dernière modification par matrix-bx (Le 20/01/2023, à 16:13)

---

Utilisations des balises de mises en formes.

bruno

Re : Impossible de bloquer une ipv4 [RESOLU]

il cherche à me passer des arguments en post et en get. Il arrivera à rien, mais en attendant il me fait chauffer mon apache... Il passe toujours sur la même ip

C'est bien ce que je pensais ce n'est pas du DOS mais un simple robot à la recherche de vulnérabilités.Tu en verras des centaines dans tes logs. En général cela ne consomme presque pas de ressources et si ton site est sécurisé il vaut mieux les laisser passer que perdre son temps à essayer de les bloquer. Mais bien entendu tu fais comme tu l'entends.

matrix-bx

Re : Impossible de bloquer une ipv4 [RESOLU]

En complément, fail2ban est fait pour réduire ces nuisances là.

---

Utilisations des balises de mises en formes.

bruno

Re : Impossible de bloquer une ipv4 [RESOLU]

Oui fail2ban cela peut rassurer en diminuant le bruit dans les logs.

Dernière modification par bruno (Le 20/01/2023, à 16:42)

xpertiz

Re : Impossible de bloquer une ipv4 [RESOLU]

Oui fail2ban, mais j'avais remarqué que cela me prenait beaucoup de ressources...

restart apache2 donc normalement la connexion est morte

Mais pourquoi le
sudo ufw deny from xxx.xxx.xxx.xxx to any

ne marche pas pour cet ip ?

Dernière modification par xpertiz (Le 20/01/2023, à 16:38)

NicoApi73

Re : Impossible de bloquer une ipv4 [RESOLU]

Bonjour,

@bruno : tu as fait une faute de frappe pour ton lien. Le lien correct est https://doc.ubuntu-fr.org/fail2ban

fail2ban lit des fichiers logs (du texte) et interagit avec iptables (ou nftables). Je ne vois pas comment tu peux dire que ça consomme des ressources.

matrix-bx

Re : Impossible de bloquer une ipv4 [RESOLU]

Oui fail2ban, mais j'avais remarqué que cela me prenait beaucoup de ressources...

restart apache2 donc normalement la connexion est morte

Mais pourquoi le
sudo ufw deny from xxx.xxx.xxx.xxx to any

ne marche pas pour cet ip ?

Je présume que ça dépend où dans les règles est ajouté/insérée celle-ci.
La connexion étant déjà établie, si cette règle vient après celle qui accepte les paquets des connexions établies, elle n'est jamais appliquée.

---

Utilisations des balises de mises en formes.

bruno

Re : Impossible de bloquer une ipv4 [RESOLU]

Merci, corrigé
Fail2ban ce sont des scripts qui analysent les logs à la recherche des correspondances avec des expressions régulières. Donc oui cela consomme des ressources.

@xpertiz : ce que tu as fait a certainement fonctionné. Il faut redémarrer Apache pour être sûr de ne pas voir une page en cache et vérifier la présence de l'IP incriminée dans les sorties de ss -t (connexion établie) et de iptables -n (IP bloquée).

Dernière modification par bruno (Le 20/01/2023, à 16:50)

xpertiz

Re : Impossible de bloquer une ipv4 [RESOLU]

Merci, corrigé
Fail2ban ce sont des scripts qui analysent les logs à la recherche des correspondances avec des expressions régulières. Donc oui cela consomme des ressources.

@xpertiz : ce que tu as fait a certainement fonctionné. Il faut redémarrer Apache pour être sûr de ne pas voir une page en cache et vérifier la présence de l'IP incriminée dans les sorties de ss -t (connexion établie) et de iptables -n (IP bloquée).

Oui restart d'apache2 effectué, mais cet ip continue d’apparaître dans /server-status
ss -t pareil
ufw status aussi

iznobe

Re : Impossible de bloquer une ipv4 [RESOLU]

Bonjour , je n' ai pas verifié , et je suis pas un expert , et ca fait longtemps que je ne me suis plus posé la question mais dans le .htaccess , pour interdire un truc c ' est pas avec le mot clé " deny " ?

Dernière modification par iznobe (Le 20/01/2023, à 18:01)

---

retour utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

xpertiz

Re : Impossible de bloquer une ipv4 [RESOLU]

Bonjour , je n' ai pas verifié , et je suis pas un expert , et ca fait longtemps que je ne me suis plus posé la question mais dans le .htaccess , pour interdire un truc c ' est pas avec le mot clé " deny " ?

Require all granted
Require not ip xxx.xxx.xxx.xxx
Require not ip xxx.xxx.xxx.xxx
etc...

on dit tu accepte tous, sauf les ips de cette liste...

en tout cas mon problème semble avoir été résolu, l'ip a disparu, possiblement une connexion sur apache2 était toujours active malgré un restart apache2. Cela empêchait le blocage de cette ip.