Alguém está tentando fazer força bruta na senha

10

Observando o log do site, descobri que alguém com endereço IP: 91.236.74.135 está enviando metodicamente solicitações para a página: / user? Destination = node / add do meu site Drupal. Ele faz isso uma vez a cada hora. Definitivamente é um bot. Eu acho que ele está tentando fazer força bruta com a senha. Por enquanto eu o bani em .htaccess com

deny from 91.236.74.135

Alguém pode dar um conselho, como proteger o site contra ataques de força bruta em logins?

security user4035
fonte
Para o login do administrador, você pode permitir o login apenas de um único IP. Quais são os parâmetros pós-solicitação BTW?
AgA
> "Quais são os parâmetros de pós-solicitação BTW?" Eles não foram salvos no log.
user4035

Respostas:

14

Eu tenho duas idéias para ajudar com esse problema.

Existem ferramentas e serviços que você pode usar para procurar ataques de força bruta. As ferramentas do módulo de revisão de segurança e do droptor examinam seu watchdog (em Administrar> Relatórios> Mensagens de log recentes) para ver se há muitos logins com falha para um usuário. Você também pode fazer isso manualmente.

No Drupal 7, o recurso "regras de acesso" foi removido do núcleo, mas movido para um módulo contribuído - Restrições de Usuário . Usando esse módulo, você pode bloquear usuários de um endereço IP específico. As regras de negação do Apache serão um pouco mais rápidas se você tiver um número relativamente pequeno de regras, mas as regras do Drupal são mais fáceis de adicionar / atualizar / remover.

greggles
fonte
2

Verifique em fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) se você tiver acesso ao servidor. Isso permitirá que você limite a frequência com que alguém pode bater na porta da frente antes que você seja bloqueado (temporária ou permanentemente).

Por exemplo, do site:

O Fail2ban varre os arquivos de log (por exemplo, / var / log / apache / error_log) e bane os IPs que mostram sinais maliciosos - muitas falhas de senha, buscas por explorações, etc. Geralmente, o Fail2Ban costumava atualizar as regras de firewall para rejeitar os endereços IP. uma quantidade de tempo especificada, embora qualquer outra ação arbitrária (por exemplo, enviar um e-mail ou ejetar a bandeja de CD-ROM) também possa ser configurada. Fora da caixa O Fail2Ban vem com filtros para vários serviços (apache, curier, ssh, etc).

William
fonte
2

Além disso, confira o módulo Segurança de login .

O módulo Segurança de login melhora as opções de segurança na operação de login de um site Drupal. Por padrão, o Drupal introduz apenas o controle de acesso básico, negando o acesso IP ao conteúdo completo do site.

Com o módulo Segurança de login, um administrador do site pode proteger e restringir o acesso adicionando recursos de controle de acesso aos formulários de login (formulário de login padrão em / user e o bloco denominado "bloco de formulário de login"). Ativando este módulo, o administrador do site pode limitar o número de tentativas inválidas de login antes de bloquear contas ou negar o acesso por endereço IP, temporária ou permanentemente.

Bill Winett
fonte
1

Eu não acho que haja uma boa maneira de fazer isso dentro do Drupal.

Você deve definir o servidor da web e / ou as configurações de firewall para impor limites de solicitação.

jdu
fonte