Jemand versucht, das Passwort brutal zu erzwingen

10

Beim Betrachten des Site-Protokolls stellte ich fest, dass jemand mit der IP-Adresse 91.236.74.135 methodisch Anforderungen an die Seite sendet: / user? Destination = node / add meiner Drupal-Website. Er macht es einmal in jeder Stunde. Es ist definitiv ein Bot. Ich denke, er versucht, das Passwort brutal zu erzwingen. Im Moment habe ich ihn in .htaccess mit verboten

deny from 91.236.74.135

Kann jemand einen Rat geben, wie die Site vor Brute-Force-Angriffen auf Logins geschützt werden kann?

security user4035
quelle
Für die Administratoranmeldung können Sie die Anmeldung nur von einer einzelnen IP-Adresse aus zulassen. Was sind die Post-Request-Parameter BTW?
AgA
> "Was sind die Post-Request-Parameter übrigens?" Sie wurden nicht im Protokoll gespeichert.
user4035

Antworten:

14

Ich habe zwei Ideen, um bei diesem Problem zu helfen.

Es gibt Tools und Dienste, mit denen Sie nach Brute-Force-Angriffen suchen können. Das Sicherheitsüberprüfungsmodul und die Droptor- Tools überprüfen in Ihrem Watchdog (unter Verwalten> Berichte> Letzte Protokollnachrichten), ob für einen Benutzer viele Anmeldungen fehlgeschlagen sind. Sie können dies auch manuell tun.

In Drupal 7 wurde die Funktion "Zugriffsregeln" aus dem Kern entfernt, aber in ein Modul verschoben - Benutzereinschränkungen . Mit diesem Modul können Sie Benutzer von einer bestimmten IP-Adresse blockieren. Apache-Verweigerungsregeln sind etwas schneller, wenn Sie eine relativ kleine Anzahl von Regeln haben, die Drupal-Regeln jedoch einfacher hinzuzufügen / zu aktualisieren / zu entfernen sind.

greggles
quelle
2

Checken Sie in fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) ein, wenn Sie Zugriff auf den Server haben. Damit können Sie festlegen, wie oft jemand an die Haustür klopfen kann, bevor Sie blockiert werden (vorübergehend oder dauerhaft).

ZB von der Website:

Fail2ban durchsucht Protokolldateien (z. B. / var / log / apache / error_log) und verbietet IPs, die böswillige Anzeichen aufweisen - zu viele Kennwortfehler, Suche nach Exploits usw. Im Allgemeinen wird Fail2Ban dann zum Aktualisieren von Firewall-Regeln verwendet, um die IP-Adressen für abzulehnen eine bestimmte Zeitspanne, obwohl auch jede andere Aktion (z. B. Senden einer E-Mail oder Auswerfen des CD-ROM-Fachs) konfiguriert werden kann. Fail2Ban wird standardmäßig mit Filtern für verschiedene Dienste (Apache, Curier, SSH usw.) geliefert.

Wilhelm
quelle
2

Überprüfen Sie auch das Anmeldesicherheitsmodul .

Das Anmeldesicherheitsmodul verbessert die Sicherheitsoptionen beim Anmeldevorgang einer Drupal-Site. Standardmäßig führt Drupal nur eine grundlegende Zugriffssteuerung ein, die den IP-Zugriff auf den gesamten Inhalt der Website verweigert.

Mit dem Anmeldesicherheitsmodul kann ein Site-Administrator den Zugriff schützen und einschränken, indem er den Anmeldeformularen Zugriffssteuerungsfunktionen hinzufügt (Standard-Anmeldeformular in / user und der Block "Anmeldeformularblock"). Durch Aktivieren dieses Moduls kann ein Site-Administrator die Anzahl ungültiger Anmeldeversuche begrenzen, bevor Konten blockiert oder der Zugriff über die IP-Adresse vorübergehend oder dauerhaft verweigert wird.

Bill Winett
quelle
1

Ich glaube nicht, dass es in Drupal einen guten Weg gibt, dies zu tun.

Sie sollten sich die Konfiguration Ihrer Webserver- und / oder Firewall-Einstellungen ansehen, um Anforderungslimits durchzusetzen.

jdu
quelle