cPanel : Bloqueur d'adresses IP sur hybride illimité

Discussion dans 'Panneaux de Contrôle' démarrée par hannuman, Fév 20, 2016.

  1. hannuman

    hannuman Member

    Bonjour, sur mon hybride illimité, j'ai plusieurs sites dont un Joomla! avec l'extension AdminExile pour éviter que l'on fasse du brute force sur mon Administration.
    Les assaillants me sont signalés par e-mail et exclus pendant un temps déterminé.

    Bien, mais il y a une adresse qui essaie et ré-essaie depuis des jours. Je me suis donc dit que j'allais définitivement bloquer son IP avec le module dédié de cPanel.
    Par défaut, celui-ci inscrit la ligne « deny from 88.150.155.159 » à la fin du .htaccess “root” de mon hébergement. Seulement le site attaqué ne se trouve pas là. J'ai donc copié cette ligne pour la mettre au bon endroit. Je l'y ai même mise commençant par une majuscule au cas où.
    Mais là, elle n'agit pas : tous les jours j'ai encore des attaques de la sempiternelle même IP qui ne devrait pas pouvoir accéder du tout au site.

    Comment est-ce possible ?
     
  2. hannuman

    hannuman Member

    Tout le monde s'en fout… Mais ça a cessé. Merci (éventuellement).

    J'aimerais tout de même savoir s'il vaut mieux que je fasse bloquer les IPs dans le forum ou dans cPanel ?
    Ou si toute coïncidence est purement fortuite…
     
  3. David77

    David77 Member

    Personnellement je les bloque dans le cPanel et je ne les revois pas aprés.
    Mais je suis sur un mutualisé....
     
  4. hannuman

    hannuman Member

    Ben moi aussi je suis en mutualisé. Et si j'ai bien vu la modification du .htaccess immédiatement, ça n'a rien donné de pratique : les attaques de la même IP ont continué.
     
  5. David77

    David77 Member

    C'est vraiment étrange ça
    Moi je n'ai jamais revu d'attaques des IP bloquéées :(
     
  6. hannuman

    hannuman Member

    Ça a cessé après quelques jours, dès que je suis venu en parler ici.
    Ça commence à devenir une habitude : un bug, on en parle dans le forum et ça se résoud en silence.
    Je ne trouve pas ça étrange, je trouve ça cavalier. Mais au moins les bugs disparaissent.
     
  7. PH-Gabriel

    PH-Gabriel Member Membre de l'équipe

    Bonjour hannuman,

    Lors d'une quantité élevé de connexion à une page d'administration avec les mauvais identifiants, nous avons un système de sécurité qui va bloquer toutes les IPs allant sur cette page. Ceci est une méthode à fin de protéger nos clients contre ce type d'attaque.

    Si vous ne souhaitez pas que ce système de sécurité soit active sur votre site tout en restant protégé, nous conseillons d'installer une protection par mot de passe via .htaccess (aussi appelé double authentification). Ceci aura pour effet de rendre le piratage par force brute virtuellement impossible. Notre système de sécurité ne va donc pas avoir besoin d'agir et seulement les vrai utilisateurs possédant les deux mots de passe auront accès à la section d'administration.

    Voici deux articles qui devraient vous aider à installer cette protection:
    https://my.planethoster.net/knowled...avec-une-double-authentification-par-htaccess
    http://anything-digital.com/blog/se...s-to-protect-against-brute-force-attacks.html

    Au besoin, contactez notre support technique et nous allons pouvoir installer ceci sur votre site.

    Cordialement,
    Gabriel P.
     
  8. hannuman

    hannuman Member

    Bonjour, j'ai oublié ce sujet quelques temps, j'en suis désolé.

    Alors, par rapport à l'article sur la protection de Joomla!, puisque c'est ce qui m'intéresse plus particulièrement, j'avais précisé que j'utilise l'extension de sécurité AdminExile qui fonctionne très bien pour protéger mon administration : elle relève les IPs et les bloque et elle ajoute une sorte de surcouche identifiant/mot de passe (access key + key value) à l'URL.
    Et, comme je le disais aussi, elle m'envoie des emails pour me prévenir des attaques en brute force sur mon administration.

    Le 1er problème c'est lorsque l'IP en question insiste : je reçois des emails trop réguliers à mon goût. C'est la raison pour laquelle j'aimerais bloquer une (ou l'autre) IP en particulier, à un emplacement (/administrator/) sur un domaine compagnon particulier, pas sur mon domaine principal (qui n'héberge rien de sensible).
    Pour le reste, pour les autres attaquants, j'aimerais rester prévenu afin de pouvoir notifier à certains hébergeurs qu'une de ses IPs semble vérolée et malveillante (avoir un comportement responsable) et c'est pourquoi la technique du .htpassword ne me convient pas.

    Le 2d problème, c'est qu'un module de cPanel est prévu dans l'hébergement, et que ni lui (le sujet du présent topic), ni l'édition manuelle du .htaccess pour bloquer définitivement une IP agressive ne fonctionnent. En tout cas au niveau d'un domaine compagnon.
    Comme avec les années qui passent, il n'y a pas qu'une adresse agressive à bloquer, qu'une IP agressive peut agresser plusieurs domaines et plusieurs emplacements d'un domaine, il serait d'ailleurs très intéressant qu'une telle IP soit bloquée au niveau de la racine de l'hébergement, pour tous les domaines.

    Mais ce serait déjà très agréable qu'une édition manuelle du .htaccess (Deny from…) qui fonctionnait sur un autre hébergeur (OVH) puisse fonctionner chez PlanetHoster. Car si ce type d'édition ne fonctionne pas, rien ne dit que toute autre édition manuelle du .htaccess fonctionne bien. Si ce n'était pas le cas, ce serait catastrophique.
    De toute façon il est catastrophique que l'ajout manuel d'une ligne Deny from 193.169.252.78 (Ukraine) dans le .htaccess ne fonctionne pas, comme si cette IP était autorisée à un niveau que je ne maîtrise pas.
    J'aimerais beaucoup savoir pourquoi.
     
  9. PH-Jay

    PH-Jay Member Membre de l'équipe

    Le blocage d'IP par .htaccess fonctionne sans problème via un .htaccess chez nous. Je crois que le problème vient du fait que le bloqueur d'IP de cPanel et fait pour fonctionner sur un fichier .htaccess vide. Si vous avez du contenu dans votre .htaccess le contenu sera ajouté à la fin du .htaccess et cela risque de rendre les règles non fonctionnelles. Je vous conseil simplement de déplacer ces règles au début de votre fichier .htaccess, cela devrait corriger votre problème. Vous pouvez aussi utiliser l'outil suivant pour générer vos blocages par .htaccess :

    http://www.htaccesstools.com/block-ips/
     
  10. hannuman

    hannuman Member

    Déplacer les blocages ?! Bizarre, car j'ai plusieurs domaines sur mon hébergement, avec des règles similaires qui fonctionnent sur les uns par sur un autre très attaqué (toutes les 5 heures) ces derniers jours par la même IP.

    J'ai déplacé les blocages pour voir.
     
  11. hannuman

    hannuman Member

    Et ça ne change rien du tout.
     
  12. PH-Jay

    PH-Jay Member Membre de l'équipe

    Merci d'ouvrir un ticket au département du support nous allons y regarder.
     
  13. David77

    David77 Member

    Pour ajouter mon expérience à ce sujet, je travaille également sur des sites sous Joomla avec AdminExile.
    Lorsque que ce plugin me signale une attaque par email j'ajoute l'IP concernée via le cPanel et je ne revois jamais l'IP concernée dans les attaques.

    Elle est bel et bien ajoutée à la fin de htaccess et le blocage est bien actif

    Par contre c'est vrai qu'un même IP sur un laps de temps relativement court (avant blocage) "teste" plusieurs domaines, il faudrait peut être trouvé un moyen de partager entre utilisateurs ces IP signalés par nos sites et anticiper des attaques...
     
  14. hannuman

    hannuman Member

    J'ai résolu la question directement avec AdminExile et sa liste d'IPs interdites. Il m'a encore signalé une fois que cette IP interdite est venue, il l'a bloquée et depuis 6 jours, plus rien.

    « […] Par contre c'est vrai qu'un même IP sur un laps de temps relativement court (avant blocage) "teste" plusieurs domaines, il faudrait peut être trouvé un moyen de partager entre utilisateurs ces IP signalés par nos sites et anticiper des attaques [...] »

    Je rêve que les hébergeurs se partagent des extensions pour les grands CMS et applications web pour lister les adresses d'attaquants. Certains sites proposent ce type de service, mais comme les attaques nuisent avant tout au fond de commerce des hébergeurs, il me semble logique qu'ils s'en occupent.
    Seulement, ils hébergent aussi les attaquants, ils leur louent des serveurs. Les hébergeurs ont donc aussi comme fond de commerce d'héberger les voyous, et peut-être qu'entre les deux types de clients, leur cœur balance.
     

Partager cette page