Come gestire qualcuno che prova ad accedere come amministratore?

In questi ultimi giorni ho notato nel mio dblog che qualcuno ha cercato di intrufolarsi.

La persona ha provato a trovare l'URL di accesso (il mio sito Web non è aperto per la registrazione dell'utente), quindi hanno provato di tutto da my-domain.com/admin, my-domain.com/administrator .. e anche my-domain.com/wp- login (che indica che la persona non ha familiarità con drupal ..)

Una volta che la persona è finita su / utente ha tentato di accedere come amministratore provando nomi utente diversi: admin, amministratore ecc ... (Non uso mai 'admin' come nome utente per l'utente root)

c'è un modo per prevenire / proteggere un sito Web Drupal da questo genere di cose?

Grazie

ps: sono interessato a come farlo sia per d6 che per d7.

Questi tipi di sonde sono molto comuni su Internet. Ci sono alcune cose che puoi potenzialmente fare per bloccare questo problema e ridurre il successo di un attaccante.

Innanzitutto, consiglio a tutti di utilizzare l' autenticazione a due fattori in modo che, anche se l'attaccante indovina il tuo nome utente e la password, non riescano ancora ad accedere. C'era una taglia per $ 500 per infrangere TFA e sebbene gli attaccanti del cappello bianco avessero nome utente e password non potevano entrare.

Il modulo di revisione della sicurezza o Droptor può aiutare a monitorare questi accessi non riusciti. Se accadono molto, allora devi iniziare a fare più azioni. Gli attacchi di forza bruta alle password funzionano solo se qualcuno li fa molto, quindi se succede solo una dozzina di volte non mi preoccuperei.

È possibile tenere traccia dell'indirizzo IP utilizzato da questa persona utilizzando le voci del watchdog e quindi utilizzare le regole di accesso D6 integrate (o l'equivalente d7 - http://drupal.org/project/user_rest restrizioni ) per bloccare l'accesso tramite tale IP. Potresti anche negare l'accesso all'IP in Apache o altri firewall a livello di server. Il firewall / server web è un luogo più efficiente per bloccare gli utenti in termini di carico sul server, ma di solito richiede un po 'più di sforzo.

Per Drupal 6 e 7, AjitS ha fornito una risposta con una buona descrizione di come utilizzare una funzione di limitazione della velocità per impedire ripetuti tentativi di accesso dallo stesso IP.

Per Drupal 6 è necessario verificare il modulo Sicurezza accesso .

Il modulo Sicurezza accesso migliora le opzioni di sicurezza nell'operazione di accesso di un sito Drupal. Per impostazione predefinita, Drupal introduce solo il controllo di accesso di base negando l'accesso IP al contenuto completo del sito.

Con il modulo Sicurezza accesso, un amministratore del sito può proteggere e limitare l'accesso aggiungendo funzionalità di controllo dell'accesso ai moduli di accesso (modulo di accesso predefinito in / utente e il blocco chiamato "blocco modulo di accesso"). Abilitando questo modulo, un amministratore del sito può limitare il numero di tentativi di accesso non validi prima di bloccare gli account o negare l'accesso tramite indirizzo IP, temporaneamente o permanentemente. Una serie di notifiche può aiutare l'amministratore del sito a sapere quando sta succedendo qualcosa con il modulo di accesso del proprio sito: indovinare password e account, tentativi di accesso bruteforce o solo comportamenti imprevisti con l'operazione di accesso.

Per Drupal 7, come ha detto @saadlulu che esiste già una funzione di blocco dell'accesso dopo 5 tentativi falliti di accesso. Se desideri un maggiore controllo, puoi provare il modulo Flood Control .

Questo progetto ha lo scopo di aggiungere un'interfaccia di amministrazione per le variabili nascoste di controllo delle inondazioni in Drupal 7, come i limitatori dei tentativi di accesso e eventuali variabili nascoste future.

Forse l'utilizzo di rinominare i percorsi di amministrazione sarebbe di aiuto?

Lo scopo di questo modulo è di proteggere il backend drupal sovrascrivendo il percorso dell'amministratore.

Vorrei gestirlo nello stesso modo in cui vengono gestiti accessi non riusciti da altre fonti (ad esempio ssh, ftp), quindi vengono gestiti in modo coerente. Per questo guarderei fail2ban , che ho avuto un grande successo usando login SSH contro la forza bruta. Si integra perfettamente anche con strumenti di monitoraggio e blocchi a livello di firewall, che è generalmente più sicuro rispetto alla prevenzione dei soli accessi Drupal perché è comune che più vettori di attacco provengano dallo stesso posto, ad esempio se eseguono cose come metasploit .

Questo è in realtà un comportamento totalmente previsto. Ogni volta che pubblichi un sito Web su un IP pubblico, entro poche ore / giorni inizierai a ricevere traffico del genere. Il 99,99% delle volte, questi sono solo robot che eseguono uno script generico alla ricerca di applicazioni senza patch o password facili. Questo spiega perché vedi hit su domain.com/wp-login, l'host (automatizzato) che attacca non sa nemmeno inizialmente che stai eseguendo Drupal, sta provando tutti i percorsi dei popolari CMS, Wordpress, Drupal, ecc ... .

Dico di non perdere troppo tempo a preoccuparti di questo. Qualunque cosa tu faccia, troverai sempre questi script che raschiano il tuo sito ... da tutto il mondo.

Due semplici cose renderanno la tua app relativamente sicura:

1. Servire le pagine di accesso e di amministrazione tramite https

2. Avere una password decente per l'amministratore

Qualunque sia lo schema di sicurezza implementato, SEMPRE ha un backup recente delle tue cose.

Buona fortuna, buon anno amico.

Quello che stai chiedendo non è logico se intendi rimuovere o impedire l'accesso alla pagina / utente.

Se riesci in qualche modo a impedire quella pagina, come hai intenzione di accedervi?

Inoltre Drupal fornisce già un modo per fermare tali attacchi bloccando l'accesso a un utente dopo 5 tentativi.

Tuttavia, puoi limitare i tentativi al tuo account amministratore.