Support

Admin Tools

#25049 Annoying IP block

Posted in ‘Admin Tools for Joomla! 4 & 5’
This is a public ticket

Everybody will be able to see its contents. Do not include usernames, passwords or any other sensitive information.

Environment Information

Joomla! version
n/a
PHP version
n/a
Admin Tools version
n/a

Latest post by tampe125 on Friday, 06 May 2016 10:15 CDT

Monday, 02 May 2016 04:01 CDT

GSommaruga
I was working in backend with Firefox.
I need to do a test with Chrome and so I open the browser to connect to the backend.
The full URL with the security keyword is already in the cache and therefore appears in the browser, I just have to press Enter. No error in the URL!
Chrome shows instead the message that I'm a bad person.
I switch to Firefox (still open) to unlock the IP, but obviously I'm blocked in here also.
I have to use Filezilla to unlock Joomla, but all open pages have not been saved.

It happens frequently and it's getting boring.
How can I overcome this problem?

Monday, 02 May 2016 04:05 CDT

tampe125
Buongiorno Giorgio,

ho paura che Chrome effettui un qualche tipo di cache molto aggressiva e il parametro non venga inviato.
Può provare ad aprire Chrome in modalità Incognito e riprovare?

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Tuesday, 03 May 2016 02:17 CDT

GSommaruga
Quella da me citata era solo una descrizione dell'ultimo episiodio.
Ne succedono anche in Firefox.

In ogni caso non ho capito perché dovrebbe influire la cache.
L'URL richiamato è corretto, con tanto di keywords di sicurezza.
L'indirizzo IP può essere uguale o diverso, a seconda del momento e non dovrebbe essere memorizzato nella cache.
Infatti questo problema non si verifica sempre: a volte sì, molto spesso no.

Tra un po' il lavoro sarà finito ed allora non avrò più bisogno di collegarmi così tanto.
Però se dovesse ancora capitare non è detto che avrò sempre a portata di mano le credenziali FTP per sbloccare l'accesso.
Ci sarà pure un modo per capire che cosa gli abbia dato fastidio tanto da bloccarmi.

Nota a margine. Avevo rinominato main.php ora me ne trovo un secondo con il nome giusto e dal contenuto perfettamente uguale. Quindi viene generato da solo in automatico.
Edited by GSommaruga on 2016-05-03 02:21 CDT

Tuesday, 03 May 2016 03:03 CDT

tampe125
Nota a margine. Avevo rinominato main.php ora me ne trovo un secondo con il nome giusto e dal contenuto perfettamente uguale. Quindi viene generato da solo in automatico.
No, Admin Tools non effettua alcuna modifica dei file. Soprattutto per quanto riguarda il file main.php, visto che la modalità consigliata è quella di rinominarlo per accedere nuovamente in caso di blocco.

Per quanto riguarda la ragione del ban, dovrebbe essere riportata nella pagina con le informazioni di log. Inoltre, qual è il numero di eccezioni richiesto per effettuare il ban?

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Tuesday, 03 May 2016 10:35 CDT

GSommaruga
Mah! Il main.php è doppio. Non ricordo di averlo scaricato e poi ricaricato. Di solito lo rinomino, tolgo il blocco e lo rinomino. Vedremo in futuro.

Nel log vedo solo degli IP riconducibili al mio provider e a Google (perché?).
Sono tutti relativi ad Admin Query String,
Oggi ne ha già registrati 4.

Il blocco è dopo 3 tentativi in un minuto, ma il punto è perché dovrebbe bloccarmi se l'url e la chiave sono giusti.

Se vuole dargli una occhiata, le credenziali sono ancora quelle di qualche giorno fa.
Edited by GSommaruga on 2016-05-03 10:37 CDT

Tuesday, 03 May 2016 10:42 CDT

tampe125
In quale sito si verifica il problema? Quello "main" oppure nel sottodominio eolo?

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Tuesday, 03 May 2016 12:50 CDT

GSommaruga
Eolo

Tuesday, 03 May 2016 13:19 CDT

GSommaruga
Guardando i messagi relativi a main, eolo ed anche altri tre portali che sono ancora in fase di sviluppo (ma con Admin Tools installato) vedo delle segnalazioni per IP da tutto il mondo, dall'Ukraina al Brasile, dagli USA allo Zambia.
Possibile che stiano arrivando tutti a me? Non è possibile che siano dei bot o altro?
Edited by GSommaruga on 2016-05-03 13:19 CDT

Wednesday, 04 May 2016 00:26 CDT

GSommaruga
Il blocco per area geografica è relativo alla sola area amministrativa oll'intero sito?
Se per l'intero sito riguarda anche i bot di Google, Bing, ecc.?
Il sito è rivolto esclusivamente a visitatori Italiani, quindi per ragioni di sicurezza potrei anche bloccare tutto il resto, bot esclusi.

Ho provato a bloccare tutto, meno l'Italia, ma immediatamente dopo è apparso un messaggio che suggeriva di configurare htacces. Io l'avevo già fatto inizialmente, ne va fatto un'altro dopo il blocco geografico?

Wednesday, 04 May 2016 09:01 CDT

tampe125
Possibile che stiano arrivando tutti a me? Non è possibile che siano dei bot o altro?
Quasi sicuramente sono bot. Oltre al traffico "normale", ogni sito online viene scansionato per intenti più o meno malevoli più volte al giorno.
Il blocco per area geografica è relativo alla sola area amministrativa oll'intero sito?
All'intero sito.
Ad ogni modo, sconsigliamo fortemente l'utilizzo del Geo IP blocking, molto probabilmente verrà rimosso in futuro. Ricavare la nazione dell'indirizzo IP non è una scienza esatta e molte volte sono presenti falsi positivi, creando più disagio che altro: un attaccante "serio" può cambiare facilmente il proprio indirizzo IP.
ma immediatamente dopo è apparso un messaggio che suggeriva di configurare htacces
In realtà quel messaggio non è altro che un reminder, viene sempre mostrato.

Per concludere, ho effettuato alcuni test sulla navigazione, non ho riscontrato alcun problema. Quale browser utilizza di solito? Ho paura che tenti di salvare lo screenshot delle pagine più visitate di frequente nello speed dial. Dal momento che il parametro segreto è salvato nella sessione corrente, il browser non lo fornisce, da qui l'eccezione di sicurezza.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Thursday, 05 May 2016 04:45 CDT

GSommaruga
Intanto grazie per l'interessamento.

Da diversi giorni non ho più blocchi, quindi possiamo anche chiudere il discorso.
L'unica cosa che mi lascia perplesso è il riferimento ai bot perché ovviamente non voglio bloccare quelli di Google, Bing, ecc.
Tra l'altro questi non dovrebbero accedere ad aree riservate, come mai vengono segnalati come problemi di sicurezza?

D'altra parte non conosco nemmeno il loro indirizzo per creare una regola.
Voi non avete modo di determinarne l'azione?
Diventa anche problematico analizzarne la provenienza. Conto anche una decina di segnalazioni al giorno per sito.

Thursday, 05 May 2016 04:53 CDT

tampe125
Come riportato nella documentazione, i motori di ricerca vengono già esclusi automaticamente attraverso il campo Whitelisted domains.
Ad ogni modo, per ragioni tecniche, il Geo IP blocking non può seguire le eccezioni sopra definite, per cui anche Google & co. vengono bloccati e bannati.

L'unica soluzione, come già accennato precedentemente, è di rimuovere la protezione Geo IP.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Thursday, 05 May 2016 05:15 CDT

GSommaruga
Ma non c'è un paese attivo, ho controllato adesso.
Poi io ho in lista degli indirizzi IP che con il lookup fanno riferimento a Google.
In soldoni, quegli indirizzi segnalati sono da bloccare?
Edited by GSommaruga on 2016-05-05 05:16 CDT

Thursday, 05 May 2016 05:21 CDT

tampe125
No, ci pensa in automatico Admin Tools.
Se l'indirizzo IP fa riferimento a Google & co., la richiesta che ha generato un'eccezione di sicurezza viene bloccata, ma l'IP non è bannato.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Thursday, 05 May 2016 06:00 CDT

GSommaruga
OK, ma vedendo un log sempre pieno di segnalazioni mi tocca verificare sempre le segnalazioni.
Se Google viene accettato, non capisco perché bloccarlo e segnalarlo.

O sono io che non capisco

Thursday, 05 May 2016 07:40 CDT

tampe125
Riporto dalla documentazione:
Malicious URLs from these domain names WILL be blocked but a. this will not be logged and b. their IP address will not be automatically blocked by the "Auto-ban Repeat Offenders" feature below.
La visita di Google viene bloccata, ma non loggata nè bannata.
Credo ci sia stato un problema di termini: con "bot" viene indicato un qualsiasi programma che tenta di collegarsi in automatico ad un qualsiasi sito.
Quelli benevoli (crawler di Google) vengono ignorati, tutti il resto, se genera un'eccezione di sicurezza, vengono loggati da Admin Tools e nel caso bannati.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Thursday, 05 May 2016 09:27 CDT

GSommaruga
Davide, questo lo avevo capito, ma forse non riesco a farmi capire io. C'è modo di sentirci per telefono? Risiedi in Italia?

Thursday, 05 May 2016 09:38 CDT

tampe125
No, mi dispiace ma il supporto avviene solo tramite il sistema di Ticket.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Thursday, 05 May 2016 10:48 CDT

GSommaruga
Cerco di essere molto diretto.

Il sito è Italiano, propone servizi Italiani a utenti Italiani.
Non posso escludere che un Italiano residente all'estero possa esserne interessato, ma non avendo tempo da perdere se vedo nel log un indirizzo estero, soprattutto da determinati paesi, lo blocco.

In ogni caso qui non si sta parlando di semplici navigatori, ma di IP che Admin Tools ha rilevato come "pericolosi". Non voglio approfondire qui che cosa voi intendiate per pericoloso, diciamo che mi fido. Quindi in linea di massima se vedo qualcosa nel log lo blocco.

Partendo dal presupposto Iniziale, salvo il Vaticano e San Marino, per le mie necessità andrebbero bloccati tutti con il GeoIP.
Se lei mi dice che così facendo mi perdo anche Lombardia e Sicilia, allora lo disattivo.

Ci sono IP riferiti ai provider dai quali mi collego. Diciamo che sono la conseguenza dei blocchi dei quali abbiamo parlato e quindi lascio correre.

Poi però ci sono degli IP riferiti a Google e qui mi si accende la lucetta rossa.
Un SearchBot ufficiale (Google, Bing, Yahoo, ecc.) non dovrebbe essere loggata e bannata (e AT non lo fa), ma neppure bloccata. Perché la bloccate?
Non dovrebbero essere considerati "Malicious", o sbaglio?

Nel Log c'è l'IP che il Lookup identifica di Google, quindi vuol dire che l'avete bloccato e loggato.
Perché Google lo avete considerato "Malicious"? Dove sta il "pericolo"?
È bene che io lo sappia anche io per capire se in realtà non sia un Searchbot, ma qualche altra cosa "non ufficiale".

Questo la guida non lo dice.

Grazie ancora per la pazienza
PS Lei si occupa anche di Akeeba Backup?
Edited by GSommaruga on 2016-05-05 10:50 CDT

Friday, 06 May 2016 02:43 CDT

tampe125
Buongiorno,

credo ci siano alcune inesattezze di fondo, vediamo di analizzarle meglio e di chiarire i dubbi.
Quindi in linea di massima se vedo qualcosa nel log lo blocco.
Perchè blocca manualmente gli IP? Uno dei punti di forza di Admin Tools è il ban automatico, per quale motivo vuole farsi carico del lavoro in modo manuale, quando è già presente una soluzione automatica?
Partendo dal presupposto Iniziale, salvo il Vaticano e San Marino, per le mie necessità andrebbero bloccati tutti con il GeoIP.

Se lei mi dice che così facendo mi perdo anche Lombardia e Sicilia, allora lo disattivo.
Come riportato precedentemente, la funzionalità Geo IP Block non è una scienza esatta, suscettibile a molti falsi positivi.
Questo è dovuto a ragioni prettamente tecniche: per prima cosa il database attraverso il quale è calcolata l'associazione IP/Nazione è fornito da MaxMind. Tale database esiste in due versioni: la versione free (inclusa con Admin Tools) e la versione Professionale, a pagamento.
La differenza principale consiste nell'accuratezza dei risultati.
Oltre a questo, gli indirizzi IP oggigiorno sono molto dinamici: è possibile che ad oggi il suo IP sia riconosciuto come italiano, domani come francese.
Per concludere, un attaccante può facilmente mascherare il suo indirizzo IP, rendendo inutile tale protezione.

Per tutti questi motivi, molto probabilmente in futuro tale funzionalità verrà rimossa, perchè non porta alcun beneficio immediato, ma solamente disagi all'utente.
Poi però ci sono degli IP riferiti a Google e qui mi si accende la lucetta rossa.

Un SearchBot ufficiale (Google, Bing, Yahoo, ecc.) non dovrebbe essere loggata e bannata (e AT non lo fa), ma neppure bloccata. Perché la bloccate?

Non dovrebbero essere considerati "Malicious", o sbaglio?
Quali sono gli indirizzo IP a cui si riferisce? Ad un rapido controllo, non mi sembra che nessuno di loro si riferisca ad alcun motore di ricerca. Inoltre Googe non distribuisce in maniera ufficiale la lista dei propri IP, ma richiede di effettuare un Reverse DNS Lookup Search. Quindi, se sono all'interno dell'elenco vuol dire che non appartengono a Google.

Personalmente, credo si stia preoccupando un po' troppo. Admin Tools è configurato per analizzare, contenere e gestire tutte le richieste in entrata con un alto grado di confidenza, si affidi a lui.
Lei si occupa anche di Akeeba Backup?
Si mi occupo dello sviluppo e assistenza anche di Akeeba Bakcup.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Friday, 06 May 2016 03:59 CDT

GSommaruga
Mi preoccupo perché ho già perso del tempo per un sito hackerato, per questo ora ho installato AT dapperutto.
Poi però vorrei capire se è configurato correttamente.

Adesso:
  1. se ve vado nello "Storico Blocco Automatico IP" vedo "Nessun IP viene attualmente bloccato in maniera automatica "
  2. Se vado invece in "Blocco Automatico Indirizzi IP" vedo un indirizzo (5.90.4.45) ma il vostro lookup non riporta alcuna informazione.
  3. Col il mio tool "IPNetinfo" me lo riporta invece come "Vodafone IT", il che mi fa pensare ad uno dei miei blocchi quando ero connesso da loro. Però data ed ora non coincidono!
  4. Nel "Log Eccezioni di Sicurezza" vedo invece un'altra paginata di eccezioni, non elencate altrove, tra i quali un 5.90.32.91 anche questo non individuato dal vostro lookup (ma funziona?) ed invece da me individuato ancora a Vodafone IT
  5. Sempre nel Log vedo anche 66.249.93.64 individuato da AT e dal mio tool come riferito a Google.
  6. Infine trovo anche IP riferito dai lookup a Russia, Ucraina e Brasile. NOn sono presenti nello storico dei blocchi automatici, ma solo nei log. Per questo li ho bloccati. Non dovevo?

Per quanto riguarda GeoIP, OK, non lo attivo.

Per Akeeba Backup, non le faccio perdere tempo, le chiedo solo di dirmi se posso creare dei siti "template", pre configurati da installare alla bisogna presso i nuovi clienti. Basta fare "Backup + Restore", oppure c'è una qualche Best Practices da seguire? Ha dei link da segnalarmi?

Friday, 06 May 2016 10:15 CDT

tampe125
anche questo non individuato dal vostro lookup
Non è il nostro, ma un servizio online. Come tale a volte può funzionare, a volte no, non dipende da noi.

Sempre nel Log vedo anche 66.249.93.64 individuato da AT e dal mio tool come riferito a Google.
Come scritto precedentemente, è valida solo la ricerca tramite Reverse DNS Lookup, non tramite IP.

Il suo Admin Tools è configurato correttamente: se un indirizzo IP generata un'eccezione di sicurezza, viene bloccato. Se ne genera troppe in un determinato lasso di tempo, viene temporaneamente bloccato. Se è stato bloccato troppe volte, viene bloccato in maniera definitiva.

Davide Tampellini

Developer and Support Staff

🇮🇹Italian: native 🇬🇧English: good • 🕐 My time zone is Europe / Rome (UTC +1)
Please keep in mind my timezone and cultural differences when reading my replies. Thank you!

Support Information

Working hours: We are open Monday to Friday, 9am to 7pm Cyprus timezone (EET / EEST). Support is provided by the same developers writing the software, all of which live in Europe. You can still file tickets outside of our working hours, but we cannot respond to them until we're back at the office.

Support policy: We would like to kindly inform you that when using our support you have already agreed to the Support Policy which is part of our Terms of Service. Thank you for your understanding and for helping us help you!