Bonjour,
j’ai un site qui est sous apache2 fait avec opencart.
Depuis hier j’ai pleins de tentatives de connection de mon site sur la partie admin.
https://monsite/admin
comment faire pour blackliste cette adresse (admin) uniquement dans une config sans blacklisté les ip? Merci a vous
Bonjour,
Il te faut un reverse proxy, qui lui bloquera l’accès. mais dans tous les cas, rien n’empêchera quelqu’un de tenter d’accéder à cette URL.
Ton site est-il en https avec un certificat spécifique?
l’application ne devrait permettre à un utilisateur non authentifié d’aller plus loin que la racine du site. Soit c’est c’est un défaut de l’application, soit il y a un paramétrage qui n’est pas bon.
il est fait avec letsencrypt
je ne connais pas les reverse proxy c’est quoi le but
Merci
Je ne suis pas sûr de comprendre la question. Qu’est-ce que tu veux bloquer : l’URL d’accès à l’administration du site ou les IP qui tentent une attaque par force brute ?
Dans le premier cas tu peux mettre une restriction par IP sur cette URL par exemple, dans le second une application comme fail2ban permettra de limiter les attaques par force brute.
Quoi qu’il en soit, si l’accès est protégé par un mot de passe solide, et que l’application web ne présente pas de grosse faille de sécurité, il n’y a pas vraiment de craintes à avoir.
N.B. : je ne vois absolument as l’utilité d’un reverse proxy.
le problème qu’il a c’est qu’on peut accéder à l’URL d’admin directement. Normalement il devrait y avoir d’abord une authentification, puis tu accède à l’interface d’admin.
soit il y a une erreur de paramétrage quelque part, soit l’application est mal conçue. Et d’après ce que j’ai pu trouver sur internet pour le moment, c’est une mauvaise conception.
Un reverse proxy peut empêcher qu’un accès non authentifié puisse accéder à l’URL.
pas besoin de bannir la moindre adresse IP. le bannissement d’IP peut vite être une problématique, car il suffit d’usurper une adresse, de faire des tentatives d’accès, et hop l’accès est bloqué. Du coup l’utilisateur légitime de l’IP n’y a plus accès.
Je n’ai vu cela écrit nulle part. Il serait préférable de laisser répondre @bobylapointe plutôt que de faire des supputations.
ben j’ai trouvé une autre solution… j’ai remplacé admin pour autre chose.
et la CA continue… j’ai tjrs des tentatives… et ils font 4 ou 5 tentatives et change d’ip donc fail2ban ne fonctionne pas :(:(:((:
moi j’avais plus peur de attaque par mot de passe.
115.96.121.160 - - [18/Jun/2021:13:36:54 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
106.195.13.168 - - [18/Jun/2021:13:36:58 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
191.37.146.223 - - [18/Jun/2021:13:37:26 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
157.51.83.197 - - [18/Jun/2021:13:38:00 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
157.51.83.197 - - [18/Jun/2021:13:38:27 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
106.216.142.49 - - [18/Jun/2021:13:38:37 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
196.191.101.36 - - [18/Jun/2021:13:39:06 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
103.120.38.26 - - [18/Jun/2021:13:39:22 +0200] "POST /admin/ HTTP/1.1" 404 5004 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
Comme je disais, un défaut de conception.
Tes logs montrent des requêtes POST vers /admin qui renvoient une erreur 404. Tu as modifié l’URL d’accès à l’administration mais les robots continuent à essayer sur /admin. Je ne vois donc pas le problème.
Je n’ai toujours pas compris ce que tu essaies de bloquer…
Ah, j’avais zappé qu’il s’agissait d’opencart. Vérifie bien que celui-ci est à jour et que la version utilisée ne présente pas de failles de sécurité.
@Zargos : ok. Même si ce n’est pas très malin d’utiliser /admin comme URL ce n’est pas en soi un défaut de conception. Quelle que soit l’URL utilisée elle finira par être découverte par des attaquants potentiels. Il est vrai que certaines applications compliquent la tâche en générant des URL aléatoires à chaque installation du type admin345fb245.
Et contrairement à ce que tu dis on y accède pas directement. Il y a bien une page d’authentification : https://demo.opencart.com/admin/
Pour restreindre l’accès à une interface web avec un filtrage ip et une authentification par mots de passe, un simple couple htaccess et htpasswd suffit (surtout si le serveur web est un apache)
en fait l’utilisation d’un reverse proxy permet de refuser l’url sans avoir à servir à partir du moment ou il n’y a pas de jeton de session. et en cas de problème, le cloisonnement du reverse proxy, va protéger le site lui-même.
si c’est le site qui fait l’opération, la protection est moindre.
C’est exactement ce que fait une restriction par ip et/ou mots de passe, il n’est nulle besoin de sortir l’artillerie lourde avec un reverse proxy ou la mise en place d’un WAF.
C’est du apache le serveur web, suffit donc comme dit à plusieurs reprises de mettre un couple htaccess/htpasswd et cela répondra pleinement à la demande initiale.