Wednesday, March 04, 2026
support@conference.yunohost.org
March
Mon Tue Wed Thu Fri Sat Sun
            1
2
 3
 4
 5
 6
 7
 8
9
 10
 11
 12
 13
 14
 15
16
 17
 18
 19
 20
 21
 22
23
 24
 25
 26
 27 28 29
30 31          

[12:05:48] <Gwên> https://forum.yunohost.org/t/nombre-maximum-de-requetes-dns-concurrentes-atteint-maximum-150/41654
[12:16:18] <otm33> Tu peux nous redire quelle est l'app/domaine la/le plus demandé(e) par 20.48.26.117 ?
[13:50:18] <Gwên> Yep, comment faire ?
[13:50:18] <·☽•Nameless☆•777 · ±> Ce truc-là, c'est juste un crawler qui scanne tout ce qui est web.
[13:50:30] <·☽•Nameless☆•777 · ±> ```
scans/SQL injection/spam posts : 257 queries
[13:50:30] <·☽•Nameless☆•777 · ±> ```
Fail2Ban automatic report: Multiple forbidden requests in short amount of time: 20.48.26.117 - - [24/Feb/2026:16:27:54 +0100] "GET /wp-content/plugins/hellopress/wp_filemanager.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:54 +0100] "GET /new4.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:54 +0100] "GET /shell20211028.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:55 +0100] "GET /wp-content/themes/seotheme/mar.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:55 +0100] "GET /db.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:55 +0100] "GET /wp-content/plugins/index.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:55 +0100] "GET /wc49.php HTTP/1.1" 403 153 "-" "-" "-" 20.48.26.117 - - [24/Feb/2026:16:27:56
[13:50:30] <·☽•Nameless☆•777 · ±> il aime bien mysql aussi
[13:55:52] <m606> il est bloqué par fail2ban dans votre cas ?
[13:55:54] <·☽•Nameless☆•777 · ±> Ces infos ne viennent pas de moi .
[14:51:44] <Gwên> C'est bien l'impression que j'avais
[14:55:09] <Gwên> Petite évolution
[14:55:44] <Gwên> J'ai eu deux nouveaux logs de nombre de requêtes dns concurrentes dépassées
[14:55:44] <Gwên> En revanche, searxng fonctionne
[14:55:44] <Gwên> Et les erreurs suivantes dans le diagnostic :
Trouvé 1 problème(s) significatif(s) lié(s) à Connectivité Internet !
Impossible d'exécuter le diagnostic pour Enregistrements DNS alors qu'il existe des problèmes importants liés à Connectivité Internet.
Impossible d'exécuter le diagnostic pour Exposition des ports alors qu'il existe des problèmes importants liés à Connectivité Internet.
Impossible d'exécuter le diagnostic pour Web alors qu'il existe des problèmes importants liés à Connectivité Internet.
Impossible d'exécuter le diagnostic pour Email alors qu'il existe des problèmes importants liés à Connectivité Internet.
[15:10:04] <m606> regarder dans les logs nginx, par ex: `find /var/log/nginx/ -name *access.lo* -print0 | xargs -0 zgrep "20.84.26.117"`
[15:10:06] <m606> cette commande regarde dans tous les access.log texte ou gzippés pour tous les domaines/sous-domaines liés à l'instance
[15:10:10] <Gwên> Merci !
[15:10:11] <Gwên> Y a rien du tout
[15:10:12] <Gwên> Mais comme je l'ai ban j'imagine que c'est normal
[15:11:32] <m606> essaye de voir si les access logs nginx les plus anciens sont bien postérieurs (par rapport aux date/heure indiqués dedans) au ban dont tu parles
[15:11:34] <Gwên> Quand j'entre la commande je n'ai rien, comment voir les logs antérieurs ?
[15:40:58] <m606> et par rapport à la discussion d'hier et l'éclaircissement de Miro5001 sur les ports 53 et 5353, quel est l'état de ta configuration firewall YNH et routeur s'il en est?
[15:42:49] <m606> les logs antérieurs ont été nettoyés je suppose, mais si tu sais à peu près de quand date le bannissement, tu peux t'assurer que tous les logs existants parlent bien d'une époque postérieurs au ban.
[15:44:34] <m606> Enfin, ce sera peut-être plus simple de regarder directement avec les nouveaux logs DNS dont tu parles: des IPs sortent-elles du lot ?
[15:48:33] <Gwên> 150 connections dans /var/log/nginx/access.log:193.111.248.141
900 connections dans /var/log/nginx/access.log:152.42.164.39

[15:50:50] <Gwên> Comment l'obtenir ?
[15:51:02] <Gwên> Peut-être bloquer les ips non européennes, mais si je fais ça, les canadiens ne risquent pas de perdre l'accès à mes sites ?
[18:03:04] <tufek> et sinon les confs et l'état de fail2ban peuvent se retrouver avec la commande fail2ban-client (e.g., `fail2ban-client status recidive`), et le fichiers confs sont dans `/etc/fail2ban/fail2ban.conf ' et '/etc/fail2ban/jail.conf`
[18:03:12] <tufek> les logs sont compressés à partir d'un moment si trop gros ou trop vieux oui, pour chercher dans les logs compressés, il faut passer sur`zgrep`, genre `sudo zgrep -i found /var/log/fail2ban.log* | awk '{print $8 , $6, "dans" $1}' | sort | uniq -c | sort -n | sed 's/^ *//' | awk '$1>100 {print}'`
[23:32:18] <Gwên> Aleks (he/him/il/lui) Faites gaffe, j'ai remarqué pas mal de comptes bizarres qui ont rejoint mes salons récemment. Un compte différent quasi à chaque fois, avec un pseudo anglophone et un username assez long avec des mots et des chiffres. J'en vois un chez vous, Zephyr Turner . Derrière ils restent silencieux et ne répondent pas aux pings, peut-être que matrix.org les a déjà gérés, mais dans le doute...
[23:34:43] <Aleks (he/him/il/lui)> hmmmm indeed
[23:34:46] <Aleks (he/him/il/lui)> tiens ouai je vois ça sur un autre salon pas spécialement lié à YunoHost
[23:55:13] <orhtej2> Ah the famous lettersnumbers accounts from a social network that shall not be named 🙄
[23:55:14] <orhtej2> though it's strange they're not pushing state propaganda 🤔