Bloqueo de Ip en el Servidor dando error 500

Iniciado por acostep, 6 Junio 2019, 23:10 PM

0 Miembros y 1 Visitante están viendo este tema.

acostep

Buenas Tardes, soy nuevo y necesito ayuda desesperada, tengo una ip bloqueada en el servidor y la misma intentando conectarse y buscar informacion mas de 7,000 vistas por dia, originando error 500 esa misma cantidad, como logro que esa ip bloqueada no genere error 500. Gracias de Antemano.

@XSStringManolo

Necesitas dar más datos. Qué servidor es? Como hiciste el bloqueo? Buscaste ip para saber si puede ser un proxy o un nodo de salida de tor? Qué consultas hace?

Si estás utilizando deny y allow puede dar problemas. Usa require y not:
RequireAll>
Require all granted
Require not ip 12.345.67.890
</RequireAll>

acostep

Buenas Tardes, es un servidor en linux, el bloqueo de la ip es por el bloqueador de ip del cpanel, no existe proxy.

acostep

#3
Lo hice tal como lo citó,
a parte del bloqueo en el cpanel
el .htacces lo tenia asi:

## Bloqueo de IP
<limit GET POST>
order allow,deny
deny from x.x.x.x
allow from all
</Limit>

en los cinco dias de junio + de 35,000 errores 500
de esa ip

@XSStringManolo

Allow order y deny estan desactualizados.
No sé como funciona cpanel, yo uso webmin. Hace años usaba Cpanel y se que tiene opción para bloquear por ip, pero ni idea de como lo está implementado. Ni idea de lo que hace. A lo mejor solo añade la entrada "deny from ip" al archivo.

Comprueba quitando la ip bloqueada del Cpanel y usando require directamente en el archivo bloqueado como te puse yo. A ver si no vuelves a tener problemas. Tantas peticiones puede ser un spider o algún ataque. Normalmente este tipo de consultas preceden a un ataque. Asegúrate de actualizar todo y de que ya no vulneraran la seguridad. Consulta todos los logs y cambia el grupo de usuarios para que no pueda obtener root en el servidor.

acostep

Desde el momento que me dijo colocara :

<RequireAll>
Require all granted
Require not ip 12.345.67.890
</RequireAll>

no se ha vuelto a conectar, gracias antcipadas, me a resuleto lo era un dolor de cabeza, estoy dando tiempo a que se reinicie el horario para quitar la ip que tengo bloqueada en el cpanel, segun he observado considero usted tiene toda la razon, vamos a darle un poco mas de tiempo y por este mismo medio se hago saber. Gracias.

acostep

Volvió al ataque :

[Thu Jun 06 19:32:25.732455 2019] [authz_core:error] [pid 2970165:tid 47275917186816] [client 188.138.41.95:45524] AH01630: client denied by server configuration:

pongo la ip para que sepan quien es el atacante.

@XSStringManolo

#7
12.345.67.890

En lugar de ese numero, poner la ip del atacante.

Es posible que el Cpanel modifique automáticamente el archivo .httaccess cuando elimines la direccion ip de su lista. Tendrás que volver a editarlo a mano y puede que no vuelva a pasar.
Si pasa eso contunuamente cambia los permisos del archivo a solo lectura para que Cpanel no lo vuelva a modificar.

Ya no da error 500 el servidor?

Debe estar forzando para ver los puertos abiertos, servicios etc.
Estos ataques pueden ser anonimos o no. Puede que encontrase tu servidor usando dorks en busca de alguna vulnerabilidad.

Pon en la terminal:
sudo apt-get upgrade

Para actualizar todo el software del servidor.

El servidor lo tienes tu en tu casa o lo tienes contratado?

Si te fijas en la fecha del log, es de ayer a la tarde, no de hoy.

acostep

#8
Es un servidor de paga, no puedo modificarlo, cuando se utiliza el cpanel para bloquear una ip el .htaccess no se modifica, con el poco conocimeinto que tengo cuando se bloquea una ip por cualquier forma, sea por el cpanel o el .htaccess con los cambios actuales, deberia bloquearse y no dar el error que presenta, la vulnerabilidad del servivor considero es buena, porque hasta el momento no han podido escribir y/o modificar nada del hosting, la verdad tanta insistencia me tiene confundido y el soporte tecnico no ha podido hacer nada, lo que he intentado a sido en busquedas en el internet y las consideraciones que he tomado de este foro el cual me siento muy comprometido con todos ustedes, y puedo estar seguro que con la ayuda de todos superaremos esa fuerza bruta a mi web.

LA CORRECCION ES POR LA NOTA: LA FECHA ES CORRECTA, SON LAS: 20.03 EN ESTOS MOMENTOS
LA IP DEL ATACANTE LA PUSE DESDE EL PRIMER MOMENTO.

@XSStringManolo