Вопрос или проблема
У меня настроены уведомления по электронной почте для WHM/Cpanel, чтобы уведомлять о нескольких неудачных попытках входа в систему. Я заметил, что иногда количество неудачных попыток аутентификации превышает максимальное количество разрешенных попыток, прежде чем IP-адрес будет заблокирован.
Я протестировал систему, чтобы подтвердить, что блокировка действительно происходит, когда IP достигает максимального количества допустимых попыток. Система позволяет делать дальнейшие попытки, но как только IP заблокирован, даже при использовании правильных учетных данных вход будет считаться неудачным.
Моя текущая рабочая гипотеза заключается в том, что если IP-адрес продолжает брутфорс, будучи заблокированным, эти попытки будут учитываться в момент, когда IP будет разблокирован и снова допустит ошибку.
Может кто-то подтвердить наблюдаемое мной поведение или указать на документацию, которая объясняет, что происходит? Заранее большое спасибо.
Вероятно, не имеет отношения – система работает на AlmaLinux v8.10
Ответ или решение
Для начала, давайте разберем ваше наблюдение о том, что количество неудачных попыток аутентификации превышает максимальное количество попыток, установленное для блокировки IP-адреса в системе cPHulkd. Это действительно может показаться странным, но это поведение может быть объяснено рядом факторов.
Во-первых, cPHulk работает по принципу фиксированного числа попыток входа, после чего IP-адрес временно блокируется. После блокировки, если недобросовестный пользователь продолжает пытаться войти в систему с заблокированного адреса, любые такие попытки не регистрируются на счет в "неудачных попытках", так как IP-адрес уже находится в списке заблокированных.
Тем не менее, существует вероятность, что после разблокировки IP-адреса программа может учитывать предыдущие неудачные попытки. Это может происходить ввиду добавления новых попыток входа к уже зарегистрированным. Следовательно, если заблокированный IP-адрес снова пытается войти в систему скоростью, превышающей допустимую норму, это может привести к повторной блокировке.
В некоторых случаях также может иметь значение тот факт, что разные сервисы могут накапливать свои собственные логи попыток входа. Например, если злоумышленник использует несколько методов (например, SSH и FTP) для входа в систему, блокировки могут применяться по отдельности к различным службам. Поэтому можно наблюдать общую ошибку входа, которая может показаться выше установленного лимита.
Чтобы подтвердить ваши подозрения, рекомендую вам:
-
Проверить настройки cPHulk. Убедитесь, что параметры, касающиеся максимального лимита попыток и временной блокировки, установлены корректно.
-
Изучить логи. Проверьте логи аутентификации (например, /var/log/secure или аналогичные логи системы) после блокировки, чтобы увидеть, какие именно IP-адреса пытались получить доступ и какие попытки входа были произведены.
-
Посмотреть настройки временных блокировок и частоты попыток. Возможно, стоит увеличить временной интервал блокировки для IP-адресов, которые часто превышают лимиты, или уменьшить максимально допустимые попытки входа.
-
Обратиться к документации. На сайте cPanel проводятся регулярные обновления, и там можно найти актуальную информацию о функционировании cPHulk. Прямо на сайте cPanel есть разделы по документации, где описаны механизмы работы системы защиты от сетевых атак.
Если после проверки и анализа вы всё ещё сталкиваетесь с проблемами, возможно, стоит обратиться в техподдержку cPanel для более глубокой диагностики.