cPanel : Bloqueur d'adresses IP sur hybride illimité

#1
Bonjour, sur mon hybride illimité, j'ai plusieurs sites dont un Joomla! avec l'extension AdminExile pour éviter que l'on fasse du brute force sur mon Administration.
Les assaillants me sont signalés par e-mail et exclus pendant un temps déterminé.

Bien, mais il y a une adresse qui essaie et ré-essaie depuis des jours. Je me suis donc dit que j'allais définitivement bloquer son IP avec le module dédié de cPanel.
Par défaut, celui-ci inscrit la ligne « deny from 88.150.155.159 » à la fin du .htaccess “root” de mon hébergement. Seulement le site attaqué ne se trouve pas là. J'ai donc copié cette ligne pour la mettre au bon endroit. Je l'y ai même mise commençant par une majuscule au cas où.
Mais là, elle n'agit pas : tous les jours j'ai encore des attaques de la sempiternelle même IP qui ne devrait pas pouvoir accéder du tout au site.

Comment est-ce possible ?
 
#2
Tout le monde s'en fout… Mais ça a cessé. Merci (éventuellement).

J'aimerais tout de même savoir s'il vaut mieux que je fasse bloquer les IPs dans le forum ou dans cPanel ?
Ou si toute coïncidence est purement fortuite…
 
#3
Personnellement je les bloque dans le cPanel et je ne les revois pas aprés.
Mais je suis sur un mutualisé....
 
#4
Ben moi aussi je suis en mutualisé. Et si j'ai bien vu la modification du .htaccess immédiatement, ça n'a rien donné de pratique : les attaques de la même IP ont continué.
 
#6
Ça a cessé après quelques jours, dès que je suis venu en parler ici.
Ça commence à devenir une habitude : un bug, on en parle dans le forum et ça se résoud en silence.
Je ne trouve pas ça étrange, je trouve ça cavalier. Mais au moins les bugs disparaissent.
 

PH-Gabriel

Moderateur
Membre du personnel
#7
Bonjour hannuman,

Lors d'une quantité élevé de connexion à une page d'administration avec les mauvais identifiants, nous avons un système de sécurité qui va bloquer toutes les IPs allant sur cette page. Ceci est une méthode à fin de protéger nos clients contre ce type d'attaque.

Si vous ne souhaitez pas que ce système de sécurité soit active sur votre site tout en restant protégé, nous conseillons d'installer une protection par mot de passe via .htaccess (aussi appelé double authentification). Ceci aura pour effet de rendre le piratage par force brute virtuellement impossible. Notre système de sécurité ne va donc pas avoir besoin d'agir et seulement les vrai utilisateurs possédant les deux mots de passe auront accès à la section d'administration.

Voici deux articles qui devraient vous aider à installer cette protection:
https://my.planethoster.net/knowled...avec-une-double-authentification-par-htaccess
http://anything-digital.com/blog/se...s-to-protect-against-brute-force-attacks.html

Au besoin, contactez notre support technique et nous allons pouvoir installer ceci sur votre site.

Cordialement,
Gabriel P.
 
#8
Bonjour, j'ai oublié ce sujet quelques temps, j'en suis désolé.

Alors, par rapport à l'article sur la protection de Joomla!, puisque c'est ce qui m'intéresse plus particulièrement, j'avais précisé que j'utilise l'extension de sécurité AdminExile qui fonctionne très bien pour protéger mon administration : elle relève les IPs et les bloque et elle ajoute une sorte de surcouche identifiant/mot de passe (access key + key value) à l'URL.
Et, comme je le disais aussi, elle m'envoie des emails pour me prévenir des attaques en brute force sur mon administration.

Le 1er problème c'est lorsque l'IP en question insiste : je reçois des emails trop réguliers à mon goût. C'est la raison pour laquelle j'aimerais bloquer une (ou l'autre) IP en particulier, à un emplacement (/administrator/) sur un domaine compagnon particulier, pas sur mon domaine principal (qui n'héberge rien de sensible).
Pour le reste, pour les autres attaquants, j'aimerais rester prévenu afin de pouvoir notifier à certains hébergeurs qu'une de ses IPs semble vérolée et malveillante (avoir un comportement responsable) et c'est pourquoi la technique du .htpassword ne me convient pas.

Le 2d problème, c'est qu'un module de cPanel est prévu dans l'hébergement, et que ni lui (le sujet du présent topic), ni l'édition manuelle du .htaccess pour bloquer définitivement une IP agressive ne fonctionnent. En tout cas au niveau d'un domaine compagnon.
Comme avec les années qui passent, il n'y a pas qu'une adresse agressive à bloquer, qu'une IP agressive peut agresser plusieurs domaines et plusieurs emplacements d'un domaine, il serait d'ailleurs très intéressant qu'une telle IP soit bloquée au niveau de la racine de l'hébergement, pour tous les domaines.

Mais ce serait déjà très agréable qu'une édition manuelle du .htaccess (Deny from…) qui fonctionnait sur un autre hébergeur (OVH) puisse fonctionner chez PlanetHoster. Car si ce type d'édition ne fonctionne pas, rien ne dit que toute autre édition manuelle du .htaccess fonctionne bien. Si ce n'était pas le cas, ce serait catastrophique.
De toute façon il est catastrophique que l'ajout manuel d'une ligne Deny from 193.169.252.78 (Ukraine) dans le .htaccess ne fonctionne pas, comme si cette IP était autorisée à un niveau que je ne maîtrise pas.
J'aimerais beaucoup savoir pourquoi.
 

PH-Jay

Member
#9
Le blocage d'IP par .htaccess fonctionne sans problème via un .htaccess chez nous. Je crois que le problème vient du fait que le bloqueur d'IP de cPanel et fait pour fonctionner sur un fichier .htaccess vide. Si vous avez du contenu dans votre .htaccess le contenu sera ajouté à la fin du .htaccess et cela risque de rendre les règles non fonctionnelles. Je vous conseil simplement de déplacer ces règles au début de votre fichier .htaccess, cela devrait corriger votre problème. Vous pouvez aussi utiliser l'outil suivant pour générer vos blocages par .htaccess :

http://www.htaccesstools.com/block-ips/
 
#10
Déplacer les blocages ?! Bizarre, car j'ai plusieurs domaines sur mon hébergement, avec des règles similaires qui fonctionnent sur les uns par sur un autre très attaqué (toutes les 5 heures) ces derniers jours par la même IP.

J'ai déplacé les blocages pour voir.
 
#13
Pour ajouter mon expérience à ce sujet, je travaille également sur des sites sous Joomla avec AdminExile.
Lorsque que ce plugin me signale une attaque par email j'ajoute l'IP concernée via le cPanel et je ne revois jamais l'IP concernée dans les attaques.

Elle est bel et bien ajoutée à la fin de htaccess et le blocage est bien actif

Par contre c'est vrai qu'un même IP sur un laps de temps relativement court (avant blocage) "teste" plusieurs domaines, il faudrait peut être trouvé un moyen de partager entre utilisateurs ces IP signalés par nos sites et anticiper des attaques...
 
#14
J'ai résolu la question directement avec AdminExile et sa liste d'IPs interdites. Il m'a encore signalé une fois que cette IP interdite est venue, il l'a bloquée et depuis 6 jours, plus rien.

« […] Par contre c'est vrai qu'un même IP sur un laps de temps relativement court (avant blocage) "teste" plusieurs domaines, il faudrait peut être trouvé un moyen de partager entre utilisateurs ces IP signalés par nos sites et anticiper des attaques [...] »

Je rêve que les hébergeurs se partagent des extensions pour les grands CMS et applications web pour lister les adresses d'attaquants. Certains sites proposent ce type de service, mais comme les attaques nuisent avant tout au fond de commerce des hébergeurs, il me semble logique qu'ils s'en occupent.
Seulement, ils hébergent aussi les attaquants, ils leur louent des serveurs. Les hébergeurs ont donc aussi comme fond de commerce d'héberger les voyous, et peut-être qu'entre les deux types de clients, leur cœur balance.
 
Haut