IP Sperrung

Hallo Jörg,

ein Eintrag in der .htaccess

#AIOWPS_IP_BLACKLIST_START
<IfModule !mod_authz_core.c>
Order allow,deny
Allow from all
Deny from 185.xxx.xx.0
</IfModule>
<IfModule mod_authz_core.c>
<RequireAll>
Require all granted
Require not ip 185.xxx.xx.0
</RequireAll>
</IfModule>
#AIOWPS_IP_BLACKLIST_END

Die .htaccess wurde um 10 Uhr auf den Server geschoben, die IP hat aber weiterhin Zugriff ... auch Stunden später.

Woran kann dies liegen?

Mit freundlichen Grüßen - Jan

PS: Danke auch für deine Antwort zu meiner allgemeinen Frage!

Hallo Jörg,

diese spezielle IP greift seit Tagen regelmäßig übermäßig auf die wp-login.php zu und bekommt als Antwort die 302.

185.xxx.xx.0 - - [01/Feb/2023:04:03:47 +0100] "GET /wp-login.php HTTP/1.1" 302

Login ist durch das Plugin AIOS mit Cookie "geschützt" (cookie based brute force url).

Die .htaccess hat 12KB ... möchtest du die hier sehen?

Mit freundlichen Grüßen - Jan

PS: Ich weis nichts von einem Reverse Proxy

Hallo Jörg,

vor den Block der IP Sperrung nichts besonderes, deny/allow innerhalb <Files></Files> (debug.log etc.)

Nach dem IP-Block nur noch Umschreibungen, Gzip etc.

Hm ... das Plugin hat ja eine interne Firewall ... ich werde da mal einige Einstellungen deaktivieren und mal beobachten.

Mit freundlichen Grüßen - Jan

Hallo Jörg,

Funktionieren diese Zugriffsbeschränkungen denn?

Funktioniert die Blacklist, wenn sie ganz oben steht?

2x Ja ;-) Um 15:22 hatte ich Änderungen am Plugin vorgenommen, etwas später nochmals. Da ich allerdings keine Änderung an der .htaccess erkennen konnte habe ich einfach die Blacklist an den Anfang gesetzt. Danach wurde die IP (beobachte ich seit 1 Woche) nicht mehr im Log gesehen.

Die .htaccess liegt im Root.

Ich schraube meine manuelle Eingabe nochmals zurück, denn ich glaube das eine Abschaltung im Plugin bereits geholfen hatte und die IP schon vor meinem vorschnellen Eingriff geblockt war.

So anhänglich wie die IP bisher war wird sie sicher wieder auftauchen wenn ich umschalte ;-)

Aber ... ich hatte kurzfristig Brute Force abgeschaltet und schon war die IP etwas weiter, denn sie hatte nun den Referrer

185.xxx.xx.0 - - [01/Feb/2023:14:46:25 +0100] "GET /wp-login.php HTTP/1.1" 302 - "https://example.com/wp-login.php" 

Nur warum 302? Ich hatte die Datei vorsorglich umbenannt, sie war also doch gar nicht vorhanden?

Ich werde das Plugin mal deaktivieren, was aber auch wieder nicht so einfach scheint da es auch in der DB Spuren hinterlässt ... Oder hat das keine Auswirkung wenn ich das Plugin nur deaktiviere und erst Hinterlassenschaften aufräume wenn ich das Plugin nicht mehr verwenden will?

Danke für deine Aufmerksamkeit Jörg!

Mit freundlichen Grüßen - Jan

Moin Jörg,

alles ziemlich merkwürdig

# Blacklist
<IfModule !mod_authz_core.c>
Order allow,deny
Allow from all
Deny from 185.xxx.xx.0
</IfModule>

<IfModule mod_authz_core.c>
<RequireAll>
Require all granted
Require not ip 185.xxx.xx.0
</RequireAll>
</IfModule>

# BLACKLIST END

sitzt am Anfang der .htaccess und die IP greift weiter zu und wird mit 302 beantwortet.

Das ist auch das richtige Access Log?

Absolut!

Im Plugin hatte ich die Sperreinstellungen gelöscht und den Eintrag in der .htaccess manuell erstellt ... hatte die Nacht keine Wirkung.

Im Plugin können alle Einstellungen zurückgesetzt werden ... das versuche ich mal später.

Mit freundlichen Grüßen - Jan