.htacces : bannir par pays et/ou plage d'IP

[bisane]

Bonjour tout le monde ! 

Je sais, on va me dire que cela ne concerne pas à proprement parler SMF... Mais, si, un peu quand-même ! 

J'ai un .htacces à la racine du site dont les "deny from" par IP atteignent un peu plus de 2800 lignes.
Or il se trouve que depuis quelques jours, le forum est envahi de supposés invités, qui sont bannis, mais qui tentent jusqu'à 600 fois de se connecter !    Autant dire que ça ne doit pas alléger la bande passante... 

J'ai donc 2 questions, sachant que, si j'ai bien compris, le .htaccess intervient en amont du forum, et peut donc éviter des surcharges malvenues :
1/ quel est le risque d'interdire une plage d'adresse IP ? Je veux dire par là : si un malheureux quidam lambda venait à se trouver par mégarde dans cette "plage" (pas au soleil, hein ?), il pourrait aussi être banni. Comment savoir qu'une plage est bel et bien à bannir ?
2/ j'ai vu qu'o pouvait aussi insérer dans le .htacces que l'on pouvait bannir des "extensions", qui équivaudraient à ce qu'on peut faire sur le forum lui-même, en créant un bannissement du type *.pal, ce qui donne %.pal dans la BDD. Y a-t-il un risque à faire de même dans le .htaccess, sans mettre un quelconque * ou %, ou sinon qu'elle est la typographie à adopter ?


J'espère être à peu près claire dans mes explications ! 

[alexetgus]

Salut,

Il existe des plages IP (ou préfixes IP) que tu peux bannir sans sourciller. Tes membres et visiteurs honnêtes n'utiliseront ses IPs que si ils utilisent des proxy/VPN et encore, c'est pas garanti.
En règle générale, tout ce qui est IP russe, ukrainienne, vietnamienne, chinoise, etc, tu peux bannir sans aucun souci.
Sur mon site, des centaines de milliers d'IP sont bannies (des millions ?) et je n'ai pas de souci de membre perdu.

Pour ta deuxième question, j'ai rien compris.
Tu parles de quoi ? Extensions Apache ou de fichiers ?
Avec ton $ ou %, tu veux analyser les requêtes ?
Je ne comprends pas. De même que quand tu parles typographie, j'imagine que tu veux dire syntaxe.

[bisane]

Merci, Alex ! 

Comment puis-je savoir qu'une IP est russe, chinoise ou martienne ?

Mon 2/ est un peu écrit en petit-nègre (n'y voyez aucune allusion raciste, hein, j'utilise juste l'expression !)... Toutes mes excuses !    J'avais pourtant relu... 
Bref ! Typographie, syntaxe, c'est un peu le même combat...
Ma question est donc de savoir si je peux mettre dans le htaccess une ligne qui pourrait ressembler à ça :

Code Select Expand

deny from .pl

[maximus23]

Bonsoir,

Pour connaître l'origine d'une IP il faut faire un whois.

C'est pour soulager tes logs que tu veux faire un bridage des données htaccess ou alors tu as du Spam ?

[bisane]

C'est pour soulager tes logs que tu veux faire un bridage des données htaccess ou alors tu as du Spam ?

Les 2 mon capitaine ! 
Bon, pour le spam, c'est plutôt en prévention... Là, j'ai un peu de temps. Si ça arrive alors que je passe 10h au boulot, ça me fait un peu peur...

[alexetgus]

ATTENTION !
Si tu fais :

Code Select Expand

deny from .pl
Tu vas planter ton site sur une magnifique erreur 500 ! On ne bloque pas la Pologne avec son TLD dans la directive deny.

Comme te le dit Max, fais un Whois sur les ip qui t'emmerdent.
Par exemple, tu peux aller là : https://who.is

Dans ce Whois, repère la ligne Route. Si elle n'est pas là, regarde NetRange.

Là, 2 solutions :
Si Route est présent, tu as juste à copier/coller dans ton .htaccess, ce qui donnera par exemple :
deny from 213.12.0.0/16
Là, tu viens de bloquer 65536 IP !

Sinon, si tu n'as que NetRange, vas ici : https://www.ipaddressguide.com/cidr
Entre la première adresse IP de NetRange et la dernière dans les 2 champs du bas et valide.
Tu obtiendras ce qu'il faut ajouter à deny from dans ton .htaccess
Par exemple : (image jointe)


Dans cet exemple, ton ban tiendra sur 2 lignes :
deny from 127.0.0.0/10
deny from 127.64.0.0/16

Le slash derrière une IP est ce qu'on appelle un préfixe.

Joyeux ban IP !

[maximus23]

Bonsoir,

Sinon pour les pays il y a un gestionnaire qui te crée la liste des ips
Ici en bas de page.

[bisane]

Merci encore ! 


L'exemple était fictif, hein... je m'en fiche un peu, de la Pologne ! 


J'essaie le reste demain matin ! 

[bisane]

J'essaie le reste demain matin ! 

Travail en cours... c'est tout de même un peu long, mais ça le sera sans moins après ! 

[bisane]

ATTENTION !
Tu vas planter ton site sur une magnifique erreur 500 !

Ben c'est un 403 que j'ai eu, et je ne suis pas la seule... 

Ca a donc foiré...
Que de temps perdu... 

[maximus23]

Bonsoir,

Tu as mis quoi comme format de download ?

htaccess Apache 2.0 2.0.3 access deny ?

Moi je l'utilise sans soucis

[bisane]

copie exacte de ce que j'ai mis, puis enlevé, ce matin en pj.

Je n'ai pas touché au reste.

[maximus23]

Bonjour,

Ce fichier est correct tu enlèves les espaces et un copié/collé c'est tout

Regarde ton htaccess je les ai collé dedans et pas le moindre soucis

[bisane]

Regarde ton htaccess je les ai collé dedans et pas le moindre soucis

Pour toi peut-être... Moi, je n'ai pas pu me connecter ce matin ! 
Je l'ai donc enlevé, le htaccess... sans savoir, bien sûr, que c'était toi qui l'avait "corrigé" !


Tu parles d'espaces, là où je dirais, moi, retour à la ligne ou de chariot.
Ils semblent n'avoir strictement aucune incidence sur le fonctionnement du fichier, puisque je me suis retrouvée de la même manière avec une erreur 403 avec ton fichier ou le mien ! 
Et le problème, je persiste et signe, c'est que, bien sûr, ça ne touche pas que moi !

Pour moi, ça semble venir de cette ligne :

Code Select Expand

deny from 176.0.0.0/8
Une autre dont j'ai connaissance semble venir de celle-là :

Code Select Expand

deny from 109.0.0.0/8
Mais s'il faut que je vérifie pour tous les membres du forum, je ne suis pas sortie de l'auberge !!!!

Quant aux retours à la ligne, ils me servent à repérer ce que j'ai fait ou pas, parce que je n'avais bien évidemment pas fini... et, une nouvelle fois, ils semblent ne pas avoir la moindre incidence sur le fonctionnement du fichier.


J'en reviens donc à ma question initiale, et il semble bien y en avoir un, de risque !

1/ quel est le risque d'interdire une plage d'adresse IP ?

Or je suis bien sûr partie du journal de bannissements de smf, ai suivi les propositions de alexetgus, et vérifié que rien ne venait de France...
Ben c'est raté ! 


Il me vient donc une autre question, pour laquelle la réponse risque d'être chronophage, mais si au moins elle pouvait être sure et sans risque, ça m'arrangerait bien ! 
Dans les infos données par whois, il y a des "domaines" qui apparaissent souvent, tels un machin situé à Montevideo, ou un certain singleHop.
Est-il possible dès lors d'interdire ces "domaines" ?

[maximus23]

Bonjour,

Bon moi j'avais compris ton message comme une erreur de syntaxe qui te provoquait l'erreur et pas un blocage des Ips.

Comment se fait-il que ce block IP apparaît dans la liste ?

Tu as pris quel pays pour avoir ce genre de chose car là je vais leur mettre un message car ce sont des blocs de chez BTC dont tu fais parties d'où ton accès bloqué.

Je n'ai pas du tout pensé que ces blocs étaient des blocs FR ou alors ils n'ont rien à faire là.

Pour ce qui est des risques et bien tu en as fait l'expérience puisque tu t'es retrouvée exclue involontairement en mettant ces blocs Ips.

Donc on peut dire que rien n'est infaillible ou alors il faut le faire un par un et là on en sort plus.

[bisane]

Bon moi j'avais compris ton message comme une erreur de syntaxe qui te provoquait l'erreur

Ben, si je puis me permettre, tu as fait un énorme raccourci...  ou lu trop en diagonale...


Mais comme je comprends mieux le problème, j'essaie aussi de l'expliquer mieux.


Dans mon 1/, je posais cette question, car je redoutais en effet un tel résultat :

Comment savoir qu'une plage est bel et bien à bannir ?

Alexetgux m'a donné une méthode, que j'ai appliquée, en prenant soin de vérifier dans whois que l'IP bannie n'était pas localisée en France, comme je l'explique là.

Comment se fait-il que ce block IP apparaît dans la liste ?

Comme ça, donc...
Je suppose que je suis partie de cette IP bannie : 176.9.143.190, qui donne un résultat dans whois  localisé à Amsterdam (laquelle, que je sache, n'a pas encore migré en France !  ), et donc la plage que j'ai inséré dans le .htaccess.
Pour la 109, c'est un peu plus compliqué, car il y a une quarantaine d'IP bannies commençant par 109, mais je pense que c'est un peu la même chose.


Mais bon, s'il faut que je vérifie en plus IP par IP (et non plage par plage), ma vie n'y suffira pas ! 

[maximus23]

Bonsoir,

Ok toi tu as fait pour voir une Ip.

Moi je t'ai donné le lien pour supprimer un/des pays directement.

Il suffit de mettre en surbrillance les pays à exclure et mettre au format htaccess Apache 2.2 puis de faire download et tu auras la liste d'Ip's à mettre dans ton htaccess.

Oui pour le reste il faut vérifier au cas par cas quand on est pas certain et malgré tout cela on n'est pas à l'abri d'un faux positif.

[bisane]

Sauf que ta méthode ne permet pas de partir des IP bannies du forum ! 


Or, a priori, seules des personnes françaises ont besoin du forum.
Si j'exclus tous les autres pays, je risque non seulement de me retrouver avec des faux positifs, mais aussi d'éliminer, je ne sais pas, par exemple des robots, qui, eux, sont censés faciliter les recherches.

[alexetgus]

Attention !
Comme tu le dis, bannir les IP qui ne sont pas françaises, ce serait bannir les IP de Google, Bing, etc....
Tu imagines les dégâts sur ton site !

Étudie les logs régulièrement et banni les IP posant problème.
Si tu es sur un serveur et pas du mutualisé, tu peux envisager carrément des DROP iptable. C'est la solution de tranquillité.

[bisane]

Je reviens avec quelques réflexions...


Je suis quand-même revenue sur la question du ban par pays...
Je me suis aperçue, qu'il y a bien longtemps, j'avais créé des bans de type [ *.pl ] (je crois que n'avais pas mis la Pologne dans cette liste, mais peu importe...).
Mais comme j'essaie quand-même de réfléchir un peu, je me suis demandée pourquoi la "liste d'erreurs" dans le journal du même nom était si longue et le journal de bannissements aussi rempli !
Et j'ai compris que cela provenait en partie des bans du type décrit ci-dessus, ainsi que de celui de certains serveurs.

J'ai donc décidé d'enlever tous les bans aussi "généraux", et je verrai bien ce qu'il en adviendra !
Et reprendrai les choses à 0 s'il faut vraiment procéder à de nouveaux bannissements.

Seul problème, à voir avec toi, Max, je ne sais pas d'où est "sortie" la 1ère liste d'IP mise dans le .htacces.


Autre réflexion, qui n'a rien à voir, mais un peu quand-même...
J'ai testé une même adresse IP sur 2 sites "whois" (109.230.246.135). L'un la localise à Amsterdam et l'autre à Téhéran !!!    Qui croire A noter que j'ai trouvé la même localisation à Téhéran sur un autre site.

https://who.is/whois-ip/ip-address/109.230.246.135

https://www.whois.com/whois/109.230.246.135

Je veux bien croire que tout ça ne soit pas très simple, mais là, ça devient kafkaïen !

[bisane]

Pardon, Alex, on s'est croisés...
Je suis sur un mutualisé.

[bisane]

Je suis désolée, je ne peux pas modifier mon avant-dernier message, dont la fin est illisible...
Je ne sais pas ce qui s'est passé.

J'aurais quand-même besoin, pour finaliser, de quelque précisions sur ça :

Seul problème, à voir avec toi, Max, je ne sais pas d'où est "sortie" la 1ère liste d'IP mise dans le .htacces.

Je l'enlève provisoirement...


En tout cas, le journal de bannissements est désormais vide, ce qui me rassure un peu ! 

[maximus23]

Bonjour,

Seul problème, à voir avec toi, Max, je ne sais pas d'où est "sortie" la 1ère liste d'IP mise dans le .htacces.

Liste qui existait déjà lorsque que j'ai fait les modifications du forum donc je l'ai laissée.

En tout cas, le journal de bannissements est désormais vide, ce qui me rassure un peu !

C'est normal si tu as vidé les listes de bannissement Smf ne saura plus rien indiquer car il se réfère à ces listes pour faire la notification.

La seule chose qui sera encore visible dans le journal ce seront simplement les tentatives de spam et de connexions intempestives.

[bisane]

Liste qui existait déjà lorsque que j'ai fait les modifications du forum donc je l'ai laissée.

Nan, nan... 
Liste de septembre 2017 : 55 lignes
Liste après ton passage, outre qu'elle contient une ligne qui commence par : RewriteCond %{HTTP_USER_AGENT} à laquelle je ne comprends rien : 450 lignes

[maximus23]

Bonjour,

Exact je viens de revoir les backups fichiers et mes notes.

On a fait une extraction de la Bdd pour les mettre en htaccess justement pour ne plus avoir des listes de 2 km dans les journaux de Smf et les bloquer directement.

La première ligne fait une exclusion de tout les robots spammeurs pour les exclure des tentatives d'inscriptions. Si tu retires cette ligne là, la seule chose que tu peux avoir c'est des pubs sur ton site sans arrêts si il y en a un qui passe l'inscription par OCR.

Pour plus de tranquillité si tu veux tu peux installer le nouveau ReCAPTCHA en mode invisible pour Smf.

Il suffit de prendre une clé Api ou ce sera indiqué par le mod et le type de clé sera mode invisible également.

Là tout sera alors trié par le robot de filtrage.

Tout le reste sera désactivé.

[bisane]

On a fait une extraction de la Bdd pour les mettre en htaccess justement pour ne plus avoir des listes de 2 km dans les journaux de Smf et les bloquer directement.

"Extraction" que j'avais donc poursuivie en "bon élève" (pour arriver à près de 3000 lignes). Je me rappelle même t'avoir signalé que cela me semblait fastidieux...
Sauf que, bien sûr, si ça partait d'informations fausses au départ, ça ne pouvait que gonfler artificiellement !
Bref....


Précision : je n'ai pas "vidé la liste" des bannissements ! Heureusement ! 
Je l'ai juste intégralement nettoyée, pour ne laisser que les "vrais", et ai ajouté ceux qui avaient le plus de hits dans le .htacces.
Il se trouve que je pense que j'ai eu un passage de robots (des gentils, hein ?) assez massif cet été... qui ont dû se retrouver avec des magnifiques "erreur 403". Pas tip-top, le truc ! 
Mais inévitablement, ça m'a fichu un peu la trouille, de voir ainsi les journaux de bannissements et d'erreurs gonfler comme des montgolfières !
Et j'ai encore quelques jours devant moi pour surveiller tout ça de près...

La première ligne fait une exclusion de tout les robots spammeurs pour les exclure des tentatives d'inscriptions. Si tu retires cette ligne là, la seule chose que tu peux avoir c'est des pubs sur ton site sans arrêts si il y en a un qui passe l'inscription par OCR.

Je ne l'ai pas enlevée, la ligne, même si je n'y comprends rien !  Je me suis quand-même dit que si elle était la, ça ne devait pas être tout à fait par hasard !


C'est quoi, une inscription par OCR ?



Ensuite... ben tu me parles un peu chinois (enfin, c'est souvent...  )
Le forum n'est pas du tout envahi par des "vrais" spammeurs". Ma crainte est d'ailleurs plutôt celle d'un hack...
Mais la "sécurité" actuelle consiste en un reCAPTCH "moyen" (ça, c'est lié à ma vue : au-delà, sur plein de sites, j'ai vraiment du mal ! Et l'idée est quand-même de faciliter l'accès au site à ceux qui en ont vraiment besoin) et à une question que, me semble-t-il, les robots peuvent difficilement deviner, non ?






Et merci de ta présence constante ! 

[maximus23]

Bonjour,

OCR permet la reconnaissance de tout types de caractères avec des programmes d'analyses automatisés. Il peuvent même lire des images en mode document pour en extraire les textes.

https://fr.wikipedia.org/wiki/Reconnaissance_optique_de_caract%C3%A8res

Voilà pour la petite explication.

En ce qui concerne ton htaccess moi ici j'ai un serveur dédié et j'ai plus de 200.000 exclusions donc tu vois tu es encore loin du compte mais bon ce n'est pas par htaccess mais par Iptable

Le reCAPTCHA n'a rien à voir avec le système de Smf qui sont des lettres affichées dans un système de bruit, de rotation, etc...

Regarde le système de reCAPTCHA de google c'est sur plein de sites tu verras ce qu'il en est mais c'est sans la reconnaissance par image juste à cocher la case je ne suis pas un robot et google fait les vérifications lui même.

[bisane]

Je savais ce qu'était un OCR...    Je ne voyais pas bien ce que ça venait faire dans un CAPTCHA... Et le mien doit être suffisamment ancien pour que je n'ai pas pu comprendre comment un OCR pouvait décrypter des lettres dans une image toute gribouillée ! 




Bref !
Le monde appartient désormais à qui l'on sait...
Dans la mesure où il m'est encore possible de m'en passer (en tout cas au forum), ben... je m'en passe ! 
Si vraiment je vois qu'il y a un gros problème, je reviendrai sur ma position.
L'essentiel reste qu'ils ne puissent pas s'inscrire, non ?

[maximus23]

Bonjour,

Du moment que tu n'as pas de spams intempestifs et de fausses tentatives d'inscriptions pas de gros soucis sinon il faut employer les grands moyens.

[bisane]

Oui, bien sûr !
Je veille au grain ! 

[bisane]

Rappel :

Je suis désolée, je ne peux pas modifier mon avant-dernier message, dont la fin est illisible...

[maximus23]

Bonjour,

J'ai modifié la mise en forme de la fin de ton message pas de soucis

[bisane]

Merci !