Bonjour à tous,
Hier, mon adresse IP publique a été blacklistée.
Après pas mal de recherche, j’ai trouvé que c’était un blacklistage par fail2ban.
Et c’est apache-noscript qui l’a bloquée.
Je me suis débloqué depuis.
Yu@raspberrypi:~ $ sudo fail2ban-client status apache-noscript
Status for the jail: apache-noscript
|- Filter
| |- Currently failed: 0
| |- Total failed: 512
| `- File list: /var/www/html/log/http.error
`- Actions
|- Currently banned: 0
|- Total banned: 7
`- Banned IP list:
0625|[Sun Nov 05 16:42:17.624746 2023] [access_compat:error] [pid 22019] [client MONADRESSEIP:53780] AH01797: client denied by server configuration: /var/www/html/core/php/core, referer: https://MONADRESSE.me/core/php/index.php?v=d&p=dashboard
0626|[Sun Nov 05 16:42:17.639774 2023] [access_compat:error] [pid 22019] [client MONADRESSEIP:53780] AH01797: client denied by server configuration: /var/www/html/core/php/core, referer: https://MONADRESSE.me/core/php/index.php?v=d&p=dashboard
0627|[Sun Nov 05 16:42:17.654208 2023] [access_compat:error] [pid 22019] [client MONADRESSEIP:53780] AH01797: client denied by server configuration: /var/www/html/core/php/core, referer: https://MONADRESSE.me/core/php/index.php?v=d&p=dashboard
0628|[Sun Nov 05 16:58:11.465111 2023] [mpm_prefork:notice] [pid 736] AH00171: Graceful restart requested, doing restart
0629|[Sun Nov 05 16:58:11.859839 2023] [mpm_prefork:notice] [pid 736] AH00163: Apache/2.4.38 (Raspbian) OpenSSL/1.1.1n configured -- resuming normal operations
0630|[Sun Nov 05 16:58:11.865069 2023] [core:notice] [pid 736] AH00094: Command line: '/usr/sbin/apache2'
0631|[Sun Nov 05 16:58:17.675394 2023] [mpm_prefork:notice] [pid 736] AH00171: Graceful restart requested, doing restart
0632|[Sun Nov 05 16:58:17.942323 2023] [mpm_prefork:notice] [pid 736] AH00163: Apache/2.4.38 (Raspbian) OpenSSL/1.1.1n configured -- resuming normal operations
0633|[Sun Nov 05 16:58:17.947368 2023] [core:notice] [pid 736] AH00094: Command line: '/usr/sbin/apache2'
0634|[Sun Nov 05 16:58:24.512920 2023] [mpm_prefork:notice] [pid 736] AH00171: Graceful restart requested, doing restart
0635|[Sun Nov 05 16:58:24.773880 2023] [mpm_prefork:notice] [pid 736] AH00163: Apache/2.4.38 (Raspbian) OpenSSL/1.1.1n configured -- resuming normal operations
0636|[Sun Nov 05 16:58:24.774011 2023] [core:notice] [pid 736] AH00094: Command line: '/usr/sbin/apache2'
0637|[Sun Nov 05 16:58:25.201341 2023] [mpm_prefork:notice] [pid 736] AH00171: Graceful restart requested, doing restart
0638|[Sun Nov 05 16:58:25.475928 2023] [mpm_prefork:notice] [pid 736] AH00163: Apache/2.4.38 (Raspbian) OpenSSL/1.1.1n configured -- resuming normal operations
0639|[Sun Nov 05 16:58:25.476074 2023] [core:notice] [pid 736] AH00094: Command line: '/usr/sbin/apache2'
Sauriez-vous me dire pourquoi ?
Et comment faire pour que cela ne se reproduise plus ?
Plusieurs erreurs de connexion ? Si tu te connectes de chez toi avec l’adresse dns, tu vas sortir pour rentrer, donc tu seras sans doute vu comme venant de l’adresse IP publique de ta box.
Je déconseille quand même de mettre une adresse externe en whitelist.
Si il y a eu un blocage, il y a une raison à ce blocage …
Hello,
Merci à vous deux de m’avoir répondu.
Pour répondre à @ngrataloup, oui, je me connecte en local avec l’adresse DNS.
J’ai pas souvenir d’avoir fait plusieurs erreurs de connexion.
J’ai l’impression que j’ai des attaques, mais des sollicitations internes (Deconz).
0943|[Wed Nov 08 14:32:50.195267 2023] [access_compat:error] [pid 25354] [client 159.89.0.113:38352] AH01797: client denied by server configuration: /var/www/html/boaform, referer: http://MONIP:80/admin/login.asp
0967|[Wed Nov 08 17:27:23.841030 2023] [php7:notice] [pid 5702] [client MONIP:50438] PHP Notice: Undefined variable: node_data in /var/www/html/plugins/deconz/core/class/deconz.class.php on line 693, referer: https://MONADRESSEDNS/index.php?v=d&m=deconz&p=deconz
0968|[Wed Nov 08 17:27:23.841273 2023] [php7:warn] [pid 5702] [client MONIP:50438] PHP Warning: Invalid argument supplied for foreach() in /var/www/html/plugins/deconz/core/class/deconz.class.php on line 693, referer: https://MONADRESSEDNS/index.php?v=d&m=deconz&p=deconz
0969|[Wed Nov 08 17:27:29.889153 2023] [php7:notice] [pid 21100] [client MONIP:50440] PHP Notice: Undefined variable: node_data in /var/www/html/plugins/deconz/core/class/deconz.class.php on line 693, referer: https://MONADRESSEDNS/index.php?v=d&m=deconz&p=deconz&id=1817
0970|[Wed Nov 08 17:27:29.891985 2023] [php7:warn] [pid 21100] [client MONIP:50440] PHP Warning: Invalid argument supplied for foreach() in /var/www/html/plugins/deconz/core/class/deconz.class.php on line 693, referer: https://MONADRESSEDNS/index.php?v=d&m=deconz&p=deconz&id=1817
0977|[Wed Nov 08 18:44:27.316531 2023] [access_compat:error] [pid 18555] [client 84.54.51.66:40482] AH01797: client denied by server configuration: /var/www/html/boaform, referer: http://MONIP:80/admin/login.asp
Des tentatives de connexion c’est normal puisque ton jeedom est ouvert sur l’extérieur. On en a tous. Si les tentatives se renouvellent, fail2ban doit entrer en jeu et bloquer ces ip. S’il n’y a qu’une tentative il n’y aura pas de ban.
Pour moi si ta propre ip publique a été bannie c’est qu’il y a eu des erreurs d’authentification répétées mais je ne suis pas un spécialiste. Peut-être un mauvais id/mdp préenregistré sur un device (téléphone/tablette…)?
Rien d’anormal à mon sens que Deconz attaque ton Jeedom …
Ce qui l’est moins, c’est qu’il l’attaque via ton nom de domaine … Donc requête DNS qui renvoie l’adresse IP publique qui est utilisée pour te connecter, donc pour passer de ton DECONZ a ton Jeedom, tu passes par l’extérieur → pour moi, ton plugin deconz doit être paramétré avec l’adresse 127.0.0.1, ou au pire avec l’adresse du reseau local de ton jeedom (192.168.x.x en principe) - ou le contraire, je n’ai pas le plugin deconz, ni deconz
A noter que fail2ban fait une analyse de logs. JE ne connais pas les paramétrages par défaut, mais en tout cas, ce n’est pas 3 authentifications erronées de suite mais 3 erreurs d’authentification constatées dans les logs sur un laps de temps donné (pour apache-noscript, je crois que par défaut, c’est 5 erreurs en 10min sur des connexions apache … jeedom, deconz, …)
Merci beaucoup pour ces infos détaillées.
Ce weekend, je vais virer Deconz pour passer sur un autre plugin (pour d’autres raisons), je verrais après si j’ai encore des trucs bizares.
Oui, tu viens m’aider concernant la liste blanche en me disant que ce n’est pas dans Jeedom qu’il faut regarder.
Du coup, je suis allé voir la configuration de fail2ban et je vois que la liste blanche n’est pas active.
Je ne connais pas le range d’ip que tu utilises
est-ce que tes ip sont 192.168.1.xxx ou 192.168.0.xxx ou autre chose?
et non certainement pas un /255; ca sera surement un /24 (cela ne veut pas dire de 0 à 255, c’est un masque, cf. notation CIDR sur le net pour avoir les explications)
montres la liste des fichiers que tu as. et leur contenu stp
nb: il est recommandé de créer son propre ficher avec ses modif pour ne pas qu’un update ecrase ces modifs
