Notification de scan depuis 127.0.0.1

Math77 · Mai 19, 2025, 10:14

Hello à tous,

J’ai l’habitude des notifications des bots mais là…
Mon HA est accessible depuis l’extérieur avec Cloudflared.
Depuis quelques jours, j’ai des notifications car un méchant bot cherche un wordpress… sauf que son IP est 127.0.0.1
Au passage, mon IP Ban fonctionne bien : je ne pouvais plus me connecter depuis l’extérieur…

Une idée ?

Enregistreur: homeassistant.components.http.ban
Source: components/http/ban.py:136
intégration: HTTP (documentation, problèmes)
S'est produit pour la première fois: 18 mai 2025 à 16:27:41 (2 occurrences)
Dernier enregistrement: 07:04:07

Login attempt or request with invalid authentication from localhost (127.0.0.1). Requested URL: '/media/wp-includes/wlwmanifest.xml'. (Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36)
Login attempt or request with invalid authentication from localhost (127.0.0.1). Requested URL: '/media/wp-includes/wlwmanifest.xml'. (Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36)

ddfdom · Mai 19, 2025, 10:36

il passe a travers le tunnel cloudflared donc c’est pour cela que tu vois l’adresse de localhost

Math77 · Mai 19, 2025, 11:30

@ddfdom Etrange … je n’ai jamais eu ça avant (toujours les IP publiques)
En revanche, 127.0.0.1 remonte depuis la mise à jour de Cloudflared en 5.3.2…
Je vais chercher et posterai si j’ai de l’info.

Edit : réponse sur le Github de l’integration

Merci d’avoir soulevé la question, je pense qu’il s’agit d’un problème lié à nos derniers changements dans la manière dont nous utilisons le proxy du client via Cloudflare et notre module complémentaire. Je vais faire quelques tests pour voir si nous pouvons résoudre ce problème de notre côté. Je suppose qu’il ne sera pas possible de le corriger de votre côté.

Dan92 · Mai 19, 2025, 9:33

Avec Cloudflare on peut activer le blocage des bots et limiter les requêtes à la France (par exemple).

Avec ce type de réglage je n’ai aucune tentative de connexion sur HA.

Mangles · Mai 20, 2025, 5:35

Même souci ici, je suis allez faire un tour sur cloudflared pour limiter les requetes à la france. On verra si ca change quelquechoses.

Dan92 · Mai 20, 2025, 7:46

Pensez également à activer la sécurité contre les bots, c’est très efficace contre les attaques wordpress

Math77 · Mai 20, 2025, 8:40

Bonne idée @Dan92 ! je ne connaissais pas

Pour ceux qui sont intéressés, dans Cloudflare, sélectionnez le domaine, puis (avec la nouvelle interface), Security > Settings > Bot Traffic > Activer les 2

Pour suivre la correction Cloudflared : Login attempt failed with 127.0.0.1 · brenner-tobias/addon-cloudflared · Discussion #841 · GitHub

Mangles · Mai 20, 2025, 8:55

Tu peux nous mettre une capture d’ou ca se trouve sur le paramétrage cloudflared ?

Dan92 · Mai 20, 2025, 9:09

Voir réponse de @Math77 ci-dessus.

Pour ceux qui sont intéressés, dans Cloudflare, sélectionnez le domaine, puis (avec la nouvelle interface), Security > Settings > Bot Traffic > Activer les 2

Pensez également à forcer le mode HTTPS pour toutes les requêtes