Qualcuno sta cercando di forzare la password

10

Guardando il registro del sito, ho scoperto che qualcuno con indirizzo IP: 91.236.74.135 sta inviando metodicamente richieste alla pagina: / user? Destination = node / add del mio sito Web Drupal. Lo fa una volta ogni ora. È sicuramente un robot. Penso che stia cercando di forzare la password. Per ora l'ho bandito in .htaccess con

deny from 91.236.74.135

Qualcuno può dare un consiglio, come proteggere il sito dagli attacchi di forza bruta sugli accessi?

security 
user4035
fonte
Per l'accesso amministratore è possibile consentire l'accesso solo da un singolo IP. Quali sono i parametri post richiesta BTW?
AgA
> "Quali sono i parametri post richiesta BTW?" Non sono stati salvati nel registro.
user4035

Risposte:

14

Ho due idee per aiutare con questo problema.

Ci sono strumenti e servizi che puoi usare per cercare attacchi di forza bruta. Il modulo di revisione della sicurezza e gli strumenti droptor cercano entrambi nel tuo watchdog (su Amministra> Rapporti> Messaggi di registro recenti) per vedere se hai molti accessi non riusciti per un utente. Puoi anche farlo manualmente.

In Drupal 7 la funzione "regole di accesso" è stata rimossa dal core ma spostata in un modulo contribuito - Restrizioni utente . Utilizzando quel modulo è possibile bloccare gli utenti da un indirizzo IP specifico. Le regole di negazione di Apache saranno leggermente più veloci se hai un numero relativamente piccolo di regole ma le regole di Drupal sono più facili da aggiungere / aggiornare / rimuovere.

greggles
fonte
2

Controlla in fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) se hai accesso al server. Ti permetterà di porre dei limiti alla frequenza con cui qualcuno può bussare alla porta prima di essere bloccato (temporaneamente o permanentemente).

Ad esempio dal sito Web:

Fail2ban esegue la scansione dei file di registro (ad es. / Var / log / apache / error_log) e vieta gli IP che mostrano segni dannosi - troppi errori di password, ricerca di exploit, ecc. Generalmente Fail2Ban viene quindi utilizzato per aggiornare le regole del firewall per rifiutare gli indirizzi IP per un determinato periodo di tempo, sebbene sia possibile configurare qualsiasi altra azione arbitraria (ad esempio invio di e-mail o espulsione di un vassoio CD-ROM). Fail2Ban è pronto per l'uso con filtri per vari servizi (apache, curier, ssh, ecc.).

William
fonte
2

Inoltre, controlla il modulo Sicurezza accesso .

Il modulo Sicurezza accesso migliora le opzioni di sicurezza nell'operazione di accesso di un sito Drupal. Per impostazione predefinita, Drupal introduce solo il controllo di accesso di base, negando l'accesso IP al contenuto completo del sito.

Con il modulo Sicurezza accesso, un amministratore del sito può proteggere e limitare l'accesso aggiungendo funzioni di controllo dell'accesso ai moduli di accesso (modulo di accesso predefinito in / utente e il blocco chiamato "blocco modulo di accesso"). Abilitando questo modulo, un amministratore del sito può limitare il numero di tentativi di accesso non validi prima di bloccare gli account o negare l'accesso tramite indirizzo IP, temporaneamente o permanentemente.

Bill Winett
fonte
1

Non penso che ci sia un buon modo per farlo all'interno di Drupal.

Dovresti cercare di configurare il tuo server web e / o le impostazioni del firewall per far rispettare i limiti delle richieste.

JDU
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.