Blocage xmlrpc sur mutualisé

peut-être qu’ils peuvent s’installer en Afrique en tant que solution où tant de lieux deviennent vacants à cause des migrants lol

que dit un traceroute?

peux tu donner un traceroute?

Je n’ai pas mon ordi, donc pas simple. Je n’ai qu’un iPad ici.

je ne reproduis pas le souci
https://i.imgur.com/x0Tyrgg.png

https://i.imgur.com/iEDkD7L.png

sans traceroute à partir de ton isp, ça va pas être simple

Je te remercie de ton test, je vais essayer de tester sur un autre isp dans la journée.

Suite des tests, j’ai un comportement très étrange avec du bagot. Ça fonctionne une ou deux minutes puis bloque. Je change d’ISP, ça fonctionne sur le second ISP une minute puis bloque à nouveau...

Comme s’il y avait un équipement qui considérait que les requêtes depuis le Canada étaient une attaque et bloquait pendant un certain temps.

En ce moment j’ai une erreur 503 ngix sur une simple page html :-o

> j’ai une erreur 503 ngix sur une simple page html

tu es sur le cluster02 sans CDN, tu ne devrais pas voir Nginx !

mais je ne reproduis pas, 5mn montre en main sans soucis
après avec Tor, les noeuds se sortie sont souvent chez Ovh, pour le Canada

Est-ce que tu pourrais me donner un autre site qui serait sur le même cluster que je puisse tester en même temps ? Et un site sur un autre cluster ?

MP envoyé

Merci pour le MP

On vient de changer d’endroit, et donc d’ISP et toujours le même problème.

Ça fonctionne quelques minutes, puis ça bloque. Quand ça ne fonctionne pas, je ne peux pas non plus accéder aux autres sites du cluster02, ni au cluster15 ! Mais dans le même temps j’accède sans pb à community.ovh.com par exemple.

Vraiment bizarre.

ah oui, là j'ai plus d'idées pour tester :/

pas d'antivirus? de soucis de navigateurs?
avec Tor Browser si tu as vraiment besoin?

Hello

Après 3 semaines à galérer tous les jours sur ovh, je suis rentré en France et je viens de refaire la même chose, et même blocage au bout de quelques secondes. Il semblerait que ce soit lié aux accès xml-rpc de wordpress, et pas du tout aux accès depuis l'étranger.

Est-ce qu'il y aurait quelque part un équipement OVH qui considère que ces accès xml-rpc sont des attaques, et bloquent l'ip pendant une heure ?

> que ces accès xml-rpc sont des attaques,

à priori tu n'as pas activé le *"firewall Ovh"* qui n'a pas ce comportement (mais c'est au bon vouloir de la config de mod_security par Ovh)

un plugin ou une customisation d'enfer pourrait expliquer ça...

mais tu as l'air d'être le seul à subir ça :/

Oui et non, je suis le seul à l'exprimer comme ça :)

Quand tu vois le nombre de messages d'utilisateurs de Jetpack sur Wordpress qui ne fonctionne pas sur OVH, sachant que Jetpack s'appuie sur xmlrpc, il y a peut-être une cause commune.

Ce qui est fou, c'est que tous les sites mutu deviennent inaccessibles, ce qui ressemble beaucoup à un ban d'ip.

En vrac :
https://community.ovhcloud.com/community/fr/ovh-bloque-jetpack-sur-wordpress?id=community_question&sys_id=3b62b940b55a0ad0f078da7e5576c96e
https://community.ovhcloud.com/community/fr/depuis-migration-nim-de-domaine-jetpack-ne-fonctionne-plus-wordpress?id=community_question&sys_id=36007980e55286d02d4c0165b3e76641
https://community.ovhcloud.com/community/fr/probleme-de-fonctionnement-d-un-plugin-curl-error-28-connection-timed-out?id=community_question&sys_id=61be69cc9d9a4e901e11a21128f2cfb8

Une heure pile après ce qui ressemble à un ban, je peux réaccéder aux sites en mutu.

ça c'est un souci de filtrage, connexion bloquée
ça ne se voit pas sur le front

Mais je peux régler ça comment ?

Je viens de retenter un accès xmlrpc, nouveau ban ! J'ai eu une erreur 503 nginx (alors que mon mutu est sur apache) puis ban.

```text tu n'as pas de réponse standard:
```text
curl -XPOST --head https://www.smy.fr/xmlrpc.php

HTTP/2 404
date: Tue, 27 Aug 2019 09:38:12 GMT
content-type: text/html; charset=UTF-8
server: Apache
x-powered-by: PHP/7.2
```

un site sans xml-rpc désactivé:
```text
curl -XPOST --head https://xxx.org/xmlrpc.php

HTTP/2 200
date: Tue, 27 Aug 2019 09:35:40 GMT
content-type: text/xml; charset=UTF-8
server: Apache
x-powered-by: PHP/7.2
```

à ta place je regarderais les plugins installés, les configs de plugins de sécurité, les customisations éventuelles ```

```text Mes installations wordpress ne sont pas directement à la racine, d'où ton 404.

curl -XPOST --head https://www.smy.fr/infos/xmlrpc.php
HTTP/2 200
date: Tue, 27 Aug 2019 09:51:19 GMT
content-type: text/xml; charset=UTF-8
server: Apache
x-powered-by: PHP/7.2

Mais le problème est plus large, puisqu'une fois l'ip bannie, je ne peux plus accéder à aucun site mutu pendant une heure, même sur d'autres clusters. ```

```text > puisqu'une fois l'ip bannie

je viens de balancer deux séries de requête, à la deuxième: 503
```text
for x in {1..20}; do echo -n "$x:"; curl -XPOST --head https://www.smy.fr/infos/xmlrpc.php; done

1:HTTP/1.1 503 Service Temporarily Unavailable
Server: nginx
Content-Type: text/html
```
y'a bien filtrage, NGINX -> Ovh
et je suis bloqué sur tous les sites OVh, repos:)

```text
curl -XPOST --head https://xxx.org/xmlrpc.php
curl: (7) Failed to connect to xxx.org port 443: Connexion terminée par expiration du délai d'attente
```
si je teste l'autre site, avec une ip wanadoo, je balance 100 requêtes sans soucis, sans être banni

quelle est ton offre d'hébergement?
pas de *"firewall ala Ovh"*? ```

Merci, c'est rassurant, je ne suis pas fou :)

Je suis sur une offre pro2014 (migrée d'un 90plan).

Coté .ovhconfig et coté configuration dans l'admin ovh, j'ai la même chose :
app.engine=phpcgi
app.engine.version=7.2
http.firewall=none
environment=production
container.image=stable

ou on est deux ? :)

je n'ai plus d'idée, des WP sur des pros j'en ai vu quelque uns et jamais entendu parlé de ça :/

par acquit de conscience, peux tu passer en php-fpm:
`app.engine=php`

ça sera plus rapide et qui sait..?

Pas de changement avec le engine=php, je vais essayer d'activer le firewall...

J'ai renommé le thread

surtout pas avec Wordpress...

Ok :)

Peut être tu peux y trouver une solution
https://bloginfos.com/desactiver-xml-rpc/

Sauf que justement, j'utilise xmlrpc pour publier à distance :(

C'est pour ça que j'avais l'impression que les mutus n'étaient pas accessibles depuis l'étranger, le sujet initial de ce thread. C'était juste qu'à l'étranger j'utilisais xmlrpc, et mon ip se retrouvait bannie.

tu as encore pris le temps de tout lire et de comprendre...

:o)

:)

Je pense avoir trouvé une solution !

OVH doit vérifier les accès spécifiquement sur xmlrpc.php pour bannir l'ip. J'ai renommé ce script en autre chose, et modifié aussi l'appli qui s'y connecte. Je n'ai plus de bannissement !

A suivre...

Merci de ton aide

je viens de juste tester et de me faire bannir.. mais sur le 41e essai au lieu du 21e :/
une ip suisse

je ne comprends pas pourquoi wanadoo, pas de soucis..
et pourquoi d'autres wordpress chez Ovh ne me jettent pas?

manager Ovh/hébergement/infos générales: en bas dans les graphs, tu ne vois pas de ***mitigation*** ?

Non, pas de mitigation. Mais le bannissement est bien plus global que mon site, puisque tous les mutus sont bloqués.

oui idem, l'ip est bannie de tous les mutus

OVH doit vérifier les accès spécifiquement sur xmlrpc.php pour bannir l'ip. J'ai renommé ce script en autre chose, et modifié aussi l'appli qui s'y connecte. Je n'ai plus de bannissement !

Finalement non, ça marche en curl, pas en vraies requêtes xmlrpc. Donc OVH se base sur autre chose pour reconnaitre du xmlrpc :(

en rafale curl, je me fais jeter
chez un hébergeur autre les scans d'entêtes sont filtrés si plus d'un certain nombre en peu de temps

filtrage Ovh...
https://community.ovhcloud.com/community/fr/ovh-bloque-jetpack-sur-wordpress?id=community_question&sys_id=3b62b940b55a0ad0f078da7e5576c96e

ça craint ces filtrages non documentés

Merci, ça correspond donc bien...

Il n'y a plus qu'à attendre un correctif OVH.

humm, mais toi ton appli n'est pas aussi populaire que jetpack :/
tu es le seul à te plaindre, donc c'est de ta *"faute"*

Bonjour,

Tout comme jetpack, les IPs de vos requêtes peuvent finir en blacklist, et donc aucune autre requête sur n'importe quel autre cluster ne sera autorisée pendant un bon moment.
@kyodev les patterns d'attaque évoluent souvent et ce n'est pas évident de tout documenter
Les filtrages sont en place depuis des années, donc il est rare que ça pose problème mais ça peut arriver :)

@Smy, est-ce possible dans un premier temps d'optimiser ces appels xmlrpc en réduisant leur nombre, ou même passer par l'API WP ?

du moins moi, je découvre que xmlrpc est filtré

sans aller jusqu'aux patterns (quoique j'aimerais bien savoir pourquoi mod_security bloque l'api rest), mais savoir ce qui est scruté, ça ferait gagner du temps pour diagnostiquer les dysfonctions
le support aussi devrait être informé

@TarikM2
Je n'ai pas la malheureusement pas la main sur l'appli officielle Wordpress, et il n'y a aucun réglage permettant de réduire la vitesse des appels xmlrpc ou de basculer sur une autre API.

Je parle des ces applis : https://apps.wordpress.com/

Ah oui désolé c'est l'appli officielle j'ai mal lu :)
Mais qui est utilisée depuis tes équipements perso

@Smy
T'as essayé cette solution ?
https://apps.wordpress.com/support/#faq-ios-12

@TarikM2
Oui, ici : https://community.ovhcloud.com/community/fr/blocage-xmlrpc-sur-mutualise?id=community_question&sys_id=4b7fe10081528210f0780f07683eb220?u=smy
Et finalement : https://community.ovhcloud.com/community/fr/blocage-xmlrpc-sur-mutualise?id=community_question&sys_id=4b7fe10081528210f0780f07683eb220?u=smy

Mais ça ne fonctionne pas

Ah, un an plus tard le problème est toujours le même :)