Yönetici olarak giriş yapmaya çalışan biriyle nasıl başa çıkılır?

Bu son günlerde, dblog'umda birisinin gizlice kaçmaya çalıştığını fark ettim.

Kişi, giriş URL'sini bulmaya çalıştı (web sitem kullanıcı kaydı için açık değil), bu yüzden my-domain.com/admin, my-domain.com/administrator .. ve ayrıca my-domain.com/wp- giriş (kişinin drupal'a aşina olmadığını gösterir.)

Kişi bir kez / kullanıcı olarak sona erdiğinde, farklı kullanıcı adlarını deneyerek yönetici olarak giriş yapmaya çalıştı: admin, yönetici vb ... (Asla 'admin' kullanıcı adı olarak kullanmam)

bir drupal web sitesini bu tür şeylerden korumanın / korumanın bir yolu var mı?

Teşekkürler

ps: d6 ve d7 için bunu nasıl yapacağımla ilgileniyorum.

Bu tür problar internette çok yaygındır. Bu sorunu engellemek ve bir saldırganın başarısını azaltmak için yapabileceğiniz birkaç şey vardır.

Öncelikle, saldırganın kullanıcı adınızı ve şifrenizi tahmin etse bile hala giriş yapamaması için herkesin İki Faktörlü Kimlik Doğrulaması kullanmasını öneriyorum . TFA'yı kırmak için 500 dolarlık bir ödül vardı ve beyaz şapka saldırganlarının kullanıcı adı ve şifreleri olmasına rağmen içeri giremediler.

Güvenlik incelemesi modülü veya Droptor bu başarısız oturumların izlemenize yardımcı olabilir. Çok şey olursa, daha fazla işlem yapmaya başlamanız gerekir. Parolalara yönelik kaba kuvvet saldırıları sadece birisi çok şey yaparsa işe yarar, bu yüzden birkaç düzine kez olursa endişelenmezdim.

Bu kişi tarafından kullanılan IP adresini bekçi köpeği girişlerini kullanarak izleyebilir ve ardından bu IP üzerinden erişimi engellemek için yerleşik D6 Erişim Kurallarını (veya d7 eşdeğeri - http://drupal.org/project/user_restrictions ) kullanabilirsiniz. Apache'deki IP'ye veya başka bir sunucu düzeyinde güvenlik duvarına erişimi de reddedebilirsiniz. Güvenlik duvarı / web sunucusu, kullanıcıları sunucudaki yük açısından engellemek için daha verimli bir yerdir, ancak genellikle biraz daha fazla çaba gerektirir.

Drupal 6 ve 7 için, AjitS, aynı IP'den tekrarlanan giriş denemelerini önlemek için bir hız sınırlama özelliğinin nasıl kullanılacağına dair iyi bir açıklama içeren bir cevap sağlamıştır.

Drupal 6 için Login Security modülünü kontrol etmelisiniz .

Oturum Açma Güvenlik modülü, bir Drupal sitesinin oturum açma işlemindeki güvenlik seçeneklerini geliştirir. Varsayılan olarak, Drupal yalnızca sitenin tüm içeriğine IP erişimini reddeden temel erişim kontrolü sunar.

Oturum Açma Güvenliği modülüyle, site yöneticisi oturum açma formlarına erişim denetimi özellikleri ekleyerek erişimi koruyabilir ve kısıtlayabilir (/ user'da varsayılan oturum açma formu ve "oturum açma formu bloğu" olarak adlandırılan blok). Bu modülü etkinleştirdiğinizde, site yöneticisi hesapları engellemeden veya IP adresine göre erişimi geçici veya kalıcı olarak reddetmeden önce geçersiz giriş denemelerinin sayısını sınırlandırabilir. Bir dizi bildirim, site yöneticisinin sitelerinin giriş formunda ne zaman bir şeyler olduğunu bilmesine yardımcı olabilir: şifre ve hesap tahmini, bruteforce giriş denemeleri veya giriş işlemi ile beklenmedik davranışlar.

Drupal 7 için, @saadlulu'nun 5 başarısız giriş denemesinden sonra erişimi kilitleme özelliği olduğunu söyledi. Daha fazla kontrol istiyorsanız, Taşkın Kontrolü modülünü deneyebilirsiniz .

Bu proje, giriş denemesi sınırlayıcıları ve gelecekteki gizli değişkenler gibi Drupal 7'deki gizli sel kontrol değişkenleri için bir yönetim arabirimi eklemeyi amaçlamaktadır.

Belki de yeniden adlandırma yönetici yollarını kullanmak yardımcı olur?

Bu modülün amacı yönetici yolunu geçersiz kılarak drupal arka ucunu güvence altına almaktır.

Bunu, diğer kaynaklardan (örneğin ssh, ftp) başarısız oturum açmaların işlendiği şekilde ele almak istiyorum, bu yüzden hepsi tutarlı bir şekilde ele alınır. Bunun için kaba kuvvet SSH girişlerine karşı büyük bir başarı elde ettiğim fail2ban'a bakıyordum . Ayrıca, izleme araçlarına da güzelce beslenir ve genellikle sadece Drupal girişlerini önlemekten daha güvenli olan güvenlik duvarı bloklarını besler, çünkü çoklu saldırı vektörlerinin aynı yerden gelmesi yaygındır, örneğin metasploit gibi şeyler çalıştırıyorlarsa .

Bu aslında tamamen beklenen bir davranıştır. Bir web sitesini herkese açık bir IP'de yayınladığınızda, saat / gün içinde bu tür trafik almaya başlayacaksınız. Zamanın% 99,99'u, bunlar sadece eşlenmemiş uygulamaları veya kolay şifreleri arayan genel bir komut dosyası çalıştıran robotlardır. Bu, domain.com/wp-login adresindeki isabetleri neden gördüğünüzü açıklar, (otomatik) saldıran ana bilgisayar başlangıçta Drupal'ı çalıştırdığınızı bile bilmez, popüler CMS'lerin, Wordpress, Drupal vb. .

Diyorum ki bu konuda endişelenmek için fazla zaman kaybetmeyin. Ne yaparsanız yapın, her zaman sitenizi kazıyan bu komut dosyalarını bulacaksınız ... dünyanın her yerinden.

İki basit şey uygulamanızı nispeten güvenli hale getirecektir:

1. Giriş ve yönetici sayfalarını https ile sunma

2. Yönetici için iyi bir şifreniz var

Uyguladığınız güvenlik düzeni ne olursa olsun, DAİMA eşyalarınızın yakın zamanda yedeğini alır.

İyi şanslar, mutlu yıllar.

/ Kullanıcı sayfasına erişimi kaldırmak veya engellemek istiyorsanız, istediğiniz şey mantıklı değildir.

Bir şekilde bu sayfayı önlemeyi başarırsanız, sayfaya nasıl erişeceksiniz?

Artı Drupal zaten 5 denemeden sonra bir kullanıcıya erişimi kilitleyerek bu tür saldırıları durdurmak için bir yol sunuyor.

Denemeleri yönetici hesabınızla sınırlandırabilirsiniz.