Esses tipos de sondas são muito comuns na Internet. Existem algumas coisas que você pode fazer para bloquear esse problema e reduzir o sucesso de um invasor.
Primeiro, recomendo que todos usem a autenticação de dois fatores para que, mesmo que o invasor adivinhe seu nome de usuário e senha, ele ainda não consiga entrar. Havia uma recompensa de US $ 500 para violar o TFA e, embora os atacantes de chapéu branco tivessem nome de usuário e senha, não puderam violar.
O módulo de revisão de segurança ou o Droptor pode ajudar a monitorar esses logons com falha. Se eles acontecem muito, você precisa começar a tomar mais ações. Os ataques de força bruta às senhas só funcionam se alguém os faz muito, por isso, se acontecer apenas algumas dúzias de vezes, não me preocuparia.
Você pode rastrear o endereço IP em uso por essa pessoa usando entradas do watchdog e, em seguida, usar as Regras de acesso do D6 internas (ou o equivalente do d7 - http://drupal.org/project/user_restrictions ) para bloquear o acesso por esse IP. Você também pode negar o acesso ao IP no Apache ou em algum outro firewall no nível do servidor. O firewall / servidor da web é um local mais eficiente para bloquear os usuários em termos de carga no servidor, mas geralmente requer um pouco mais de esforço.
Para os Drupal 6 e 7, o AjitS forneceu uma resposta com uma boa descrição de como usar um recurso de limitação de taxa para impedir repetidas tentativas de login a partir do mesmo IP.
Para o Drupal 6, você deve verificar o módulo Login Security .
Para o Drupal 7, como o @saadlulu disse que já existe um recurso para bloquear o acesso após 5 tentativas malsucedidas de fazer login. Se você quiser mais controle, tente o módulo Flood Control .
fonte
Talvez o uso de renomear caminhos de administração ajudaria?
fonte
Eu gostaria de lidar com isso da mesma maneira que logins com falha de outras fontes (por exemplo, ssh, ftp) são tratados, para que todos sejam tratados de maneira consistente. Para isso, estarei analisando o fail2ban , que tive grande sucesso usando contra logins SSH de força bruta. Ele também alimenta muito bem as ferramentas de monitoramento e os bloqueios no nível do firewall, o que geralmente é mais seguro do que impedir apenas os logins do Drupal, porque é comum que vários vetores de ataque venham do mesmo local, por exemplo, se eles executam coisas como metasploit .
fonte
Este é realmente um comportamento totalmente esperado. Sempre que você publicar um site em um IP público, dentro de horas / dias, você começará a receber tráfego desse tipo. 99,99% do tempo, esses são apenas robôs que executam um script genérico procurando aplicativos sem patches ou senhas fáceis. Isso explica por que você vê acessos em domain.com/wp-login, o host de ataque (automatizado) nem sabe inicialmente que você está executando o Drupal, está tentando todos os caminhos dos populares CMSs, Wordpress, Drupal, etc. .
Eu digo que não perca muito tempo se preocupando com isso. O que quer que você faça, sempre encontrará esses scripts raspando seu site ... de todo o mundo.
Duas coisas simples tornarão seu aplicativo relativamente seguro:
Servir páginas de login e administração via https
Tenha uma senha decente para administrador
Qualquer que seja o esquema de segurança que você implemente, SEMPRE tenha um backup recente de suas coisas.
Boa sorte, feliz amigo de ano novo.
fonte
O que você está pedindo não é lógico se você quer dizer remover ou impedir o acesso à página / usuário.
Se você conseguir impedir de alguma forma essa página, como vai acessá-la?
Além disso, o Drupal já fornece uma maneira de interromper esses ataques bloqueando o acesso a um usuário após cinco tentativas.
Você pode limitar as tentativas para sua conta de administrador.
fonte