Foro de elhacker.net

Buenas Tardes, soy nuevo y necesito ayuda desesperada, tengo una ip bloqueada en el servidor y la misma intentando conectarse y buscar informacion mas de 7,000 vistas por dia, originando error 500 esa misma cantidad, como logro que esa ip bloqueada no genere error 500. Gracias de Antemano.

Necesitas dar más datos. Qué servidor es? Como hiciste el bloqueo? Buscaste ip para saber si puede ser un proxy o un nodo de salida de tor? Qué consultas hace?

Si estás utilizando deny y allow puede dar problemas. Usa require y not:
RequireAll>
Require all granted
Require not ip 12.345.67.890
</RequireAll>

Buenas Tardes, es un servidor en linux, el bloqueo de la ip es por el bloqueador de ip del cpanel, no existe proxy.

Lo hice tal como lo citó,
a parte del bloqueo en el cpanel
el .htacces lo tenia asi:

## Bloqueo de IP
<limit GET POST>
order allow,deny
deny from x.x.x.x
allow from all
</Limit>

en los cinco dias de junio + de 35,000 errores 500
de esa ip

Allow order y deny estan desactualizados.
No sé como funciona cpanel, yo uso webmin. Hace años usaba Cpanel y se que tiene opción para bloquear por ip, pero ni idea de como lo está implementado. Ni idea de lo que hace. A lo mejor solo añade la entrada "deny from ip" al archivo.

Comprueba quitando la ip bloqueada del Cpanel y usando require directamente en el archivo bloqueado como te puse yo. A ver si no vuelves a tener problemas. Tantas peticiones puede ser un spider o algún ataque. Normalmente este tipo de consultas preceden a un ataque. Asegúrate de actualizar todo y de que ya no vulneraran la seguridad. Consulta todos los logs y cambia el grupo de usuarios para que no pueda obtener root en el servidor.

Desde el momento que me dijo colocara :

<RequireAll>
Require all granted
Require not ip 12.345.67.890
</RequireAll>

no se ha vuelto a conectar, gracias antcipadas, me a resuleto lo era un dolor de cabeza, estoy dando tiempo a que se reinicie el horario para quitar la ip que tengo bloqueada en el cpanel, segun he observado considero usted tiene toda la razon, vamos a darle un poco mas de tiempo y por este mismo medio se hago saber. Gracias.

Volvió al ataque :

[Thu Jun 06 19:32:25.732455 2019] [authz_core:error] [pid 2970165:tid 47275917186816] [client 188.138.41.95:45524] AH01630: client denied by server configuration:

pongo la ip para que sepan quien es el atacante.

12.345.67.890

En lugar de ese numero, poner la ip del atacante.

Es posible que el Cpanel modifique automáticamente el archivo .httaccess cuando elimines la direccion ip de su lista. Tendrás que volver a editarlo a mano y puede que no vuelva a pasar.
Si pasa eso contunuamente cambia los permisos del archivo a solo lectura para que Cpanel no lo vuelva a modificar.

Ya no da error 500 el servidor?

Debe estar forzando para ver los puertos abiertos, servicios etc.
Estos ataques pueden ser anonimos o no. Puede que encontrase tu servidor usando dorks en busca de alguna vulnerabilidad.

Pon en la terminal:
sudo apt-get upgrade

Para actualizar todo el software del servidor.

El servidor lo tienes tu en tu casa o lo tienes contratado?

Si te fijas en la fecha del log, es de ayer a la tarde, no de hoy.

Es un servidor de paga, no puedo modificarlo, cuando se utiliza el cpanel para bloquear una ip el .htaccess no se modifica, con el poco conocimeinto que tengo cuando se bloquea una ip por cualquier forma, sea por el cpanel o el .htaccess con los cambios actuales, deberia bloquearse y no dar el error que presenta, la vulnerabilidad del servivor considero es buena, porque hasta el momento no han podido escribir y/o modificar nada del hosting, la verdad tanta insistencia me tiene confundido y el soporte tecnico no ha podido hacer nada, lo que he intentado a sido en busquedas en el internet y las consideraciones que he tomado de este foro el cual me siento muy comprometido con todos ustedes, y puedo estar seguro que con la ayuda de todos superaremos esa fuerza bruta a mi web.

LA CORRECCION ES POR LA NOTA: LA FECHA ES CORRECTA, SON LAS: 20.03 EN ESTOS MOMENTOS
LA IP DEL ATACANTE LA PUSE DESDE EL PRIMER MOMENTO.

Lo siento, no puedo ayudarte más.

Los scripts que habeis puesto son de Apache, la regla limit y require, a ti lo que te interesa es bloquearlo a nivel servidor.. deberías tener acceso al firewall del servidor o en su defecto contacta con el soporte técnico y diles que bloqueen dicha IP.

Dicho esto, lo mejor que puedes hacer es solucionar el fallo que tira ese error 500. Mira los logs de errores de tu servidor y mira a ver porque tira ese error o que petición hace y qué código se ejecuta en ese momento. Por que vamos, es una IP, es como prohibir a una persona la entrada según la ropa que lleva.. se va a casa se cambia y vuelve a entrar..

De todos modos, esa línea de log que has puesto, dice claramente "client denied by server configuration", es decir, que le has bloqueado.


Si no tienes acceso a un Firewall, puedes meter de por medio a Cloudflare.

Saludos

La verdad me siento atado de pies y manos, pues los comandos de bloqueos de ip NO FUNCIONAN, las empresas a quienes pagamos "Y DEBEMOS TENER SOPORTE 24/7" lamentablemente no funciona, en que mente humana y con dos dedos de frente supone  que si tenemos un panel donde controlamos quien puede o no puede visitar nuestra WEB NO FUNCIONA, A quien debemos recurir, deben existir (CREO NO LOS HAY) servicios de paga que cuando bloqueamos una ip este bloqueada, EL CHAPULIN MURIO Y NO PUEDE DEFENDERNOS, HAY QUE EXIGIR A LOS HOSTING DE PAGA QUE ESO FUNCIONE Y QUE PARA QUE FUNCIONE TENEMOS QUE SOLICITARLES QUE ELLOS LO BLOQUEEN.