lechi
October 26, 2021, 9:25am
1
Bonjour,
depuis ce matin, je ne peux plus me connecter à mon nextcloud qui est à la version 20.0.10.1, hébergé chez OVH en mutualisé.
Je prĂ©cise que jâutilise ce cloud depuis la premiĂšre version dâowncloud, voici quelques annĂ©es dĂ©jĂ ; mis Ă jour rĂ©guliĂšrement mais pas systĂ©matiquement.
Le message de refus est celui-ci :
Trop de requĂȘtes
Il y a trop de requĂȘtes depuis votre rĂ©seau. RĂ©essayez plus tard ou contactez votre administrateur sâil sâagit dâune erreur.
Et sur la page de login, voici le message sous le bouton «se connecter» :
Nous avons détecté plusieurs tentatives de connexion invalides depuis votre adresse IP.
Câest pourquoi votre prochaine connexion sera retardĂ©e de 30 secondes.
Une idĂ©e par oĂč commencer ?
merci par avance
Chi
Bonsoir @lechi , avez vous changĂ© de mot de passe rĂ©cemment si oui, il faut que vous vous dĂ©connectiez de tous les clients puis a lâaide dâun terminal faite cette commande ( modifiez le chemin par celui de votre rĂ©pertoire nextcloud, ainsi que lâutilisateur si vous nâutilisez pas apache ou nginx) :
sudo -u www-data php /var/www/nextcloud/occ security:bruteforce:reset
lechi
October 30, 2021, 9:13am
3
Mon nextcloud se trouve sur un serveur mutualisé chez ovh.
jâai essayĂ© votre commande via lâappli occweb, elle demande lâadresse ip.
Donc security:bruteforce:reset xxxx:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx
Mais sans succĂšs.
lechi
October 30, 2021, 9:16am
4
Pour lâinstant, jâai rĂ©solu le problĂšme en supprimant de la table oc_bruteforce_attempts les lignes du user posant problĂšmeâŠ
DELETE FROM oc_bruteforce_attempts
WHERE metadata
= â{âuserâ:âxxxxxâ}â
Mais je ne vois pas quel pc correspond à ce user. Des lignes se créent à grande vitesse.
Je dois enquĂȘter auprĂšs de mes quelques utilisateurs.
lechi
October 30, 2021, 9:31am
5
Je viens de placer xxxx:xxxx:xxx:xxxx:xxxx:xxxx:xxxx:xxxx / 64 dans la liste blanche.
RĂ©sultat, le user tente le login via une autre ip.
@lechi câest vraiment bizarre, si vous avez lâid du client / token avec la commande suivante vous pouvez afficher tous les client dâun utilisateur : sudo -u www-data php /var/www/nextcloud/occ user:setting user
lechi
October 31, 2021, 9:33am
7
@Mageunic
En fait, je commence Ă comprendre.
La table bruteforce se remplit avec un user {user:pcbureau}.
Or, je nâai jamais crĂ©Ă© un user pcbureau.
Ne sâagirait-il pas dâune rĂ©elle attaque ?
Si oui, que faire ?
@lechi ce qui me pose problĂšme câest comment avez accĂ©dez vous Ă votre nextcloud, si le client utilisĂ© ne vient pas de vous, il ne devrait pas utiliser votre adresse ip et donc celle ci ne devrait pas ĂȘtre bloquĂ© par lâapplication bruteforce.
lechi
November 1, 2021, 8:40am
9
je nâai pas bloquĂ© mon adresse ip, mais celle trouvĂ©e dans la table bruteforce, en ipv6, correspondant Ă cet user
{user:pcbureau} tel que noté dans cette table de nextcloud. J'y accÚde
via phpmyadmin de ovh.
Chi
Bonjour @lechi , je pense ne pas bien vous suivreâŠ
si je résume , votre connexion au votre nextcloud est difficile voire impossible du au bruteforce :
si ce message apparait, câest que le serveur a mis lâaddresse ip que vous utilisĂ© pour vous connectĂ© dans la blacklist bruteforce ( ceci est fait uniquement quand il y a un trop grand nombre de connexion sur un lapse de temps dĂ©fini).
cependant vous me dites que quelquâun utilise un client dont vous ne connaissez pas lâidentitĂ© qui essaie de se connecter et active donc la protection contre le bruteforce.
Est-ce bien ceci ? ou ai-je oublié / mal compris des informations ?
en ce qui concerne le client, vous avez des informations sur sa provenance ( à quel compte il appartient / token ou jeton utilisé ) ?
lechi
November 2, 2021, 2:17pm
11
Bonjour Mageunic,
Le jour oĂč tout Ă©tait bloquĂ© chez moi, je devais me rendre chez ma fille, avec mon pc.
chez moi impossible de se connecter, mais je nâai pas notĂ© le messaqe,
chez ma fille Ă©galement, mais avec les messages
Nous avons détecté plusieurs tentatives de connexion invalides depuis votre adresse IP.
Câest pourquoi votre prochaine connexion sera retardĂ©e de 30 secondes.
Et sur la page de login, voici le message sous le bouton «se connecter» :
Nous avons dĂ©tectĂ© plusieurs tentatives de connexion invalides depuis votre adresse IP. Câest pourquoi votre prochaine connexion sera retardĂ©e de 30 secondes.
Jâai donc vidĂ© la table bruteforce_attempts et on a pu se connecter Ă nouveau.
Mais sans dĂ©lais, la table bruteforce_attempts se remplissait par un user pcbureau au rythme de 2500 lignes par jour et on ne comprenait pas dâoĂč cela venait.
Ce matin, ma fille me dit quâelle a un pc sous la tĂ©lĂ©vision; jâavais oubliĂ© lâexistence de ce pc. Un des rares sur windows, nous sommes en gĂ©nĂ©ral sur Linux Mint ou Mageia. Je lui ai demandĂ© de lâĂ©teindre et miracle : plus dâessai le loggin non rĂ©ussi.
Je dois retourner chez elle pour voir ce qui cloche sur ce pc.
Je vous tiendrai au courant.
Merci pour votre aide qui mâa permis de mettre ces concepts en place dans mon cerveau.
Chi
1 Like
lechi
October 31, 2021, 9:42pm
12
je nâai pas bloquĂ© mon adresse ip, mais celle trouvĂ©e dans la table bruteforce, en ipv6, correspondant Ă cet user
{user:pcbureau} tel que notĂ© dans cette table de nextcloud. Jây accĂšde
via phpmyadmin de ovh.
Chi