Bagaimana cara berurusan dengan seseorang yang mencoba masuk sebagai admin?

Selama hari-hari terakhir ini, saya perhatikan di blog saya, bahwa seseorang telah mencoba untuk menyelinap.

Orang tersebut mencoba menemukan url login (situs web saya tidak terbuka untuk pendaftaran pengguna) sehingga mereka mencoba semuanya dari my-domain.com/admin, my-domain.com/administrator .. dan juga my-domain.com/wp- login (yang menunjukkan bahwa orang tersebut tidak mengenal drupal ..)

Begitu orang tersebut berakhir di / pengguna, ia mencoba masuk sebagai admin dengan mencoba nama pengguna yang berbeda: admin, administrator dll ... (Saya tidak pernah menggunakan 'admin' sebagai nama pengguna untuk pengguna root)

adakah cara untuk mencegah / melindungi situs web drupal dari hal-hal semacam ini?

Terima kasih

ps: Saya tertarik bagaimana melakukan ini untuk d6 dan d7.

Probe semacam ini sangat umum di internet. Ada beberapa hal yang berpotensi dapat Anda lakukan untuk memblokir masalah ini dan mengurangi keberhasilan seorang penyerang.

Pertama, saya sarankan semua orang menggunakan Otentikasi Dua Faktor sehingga meskipun penyerang menebak nama pengguna dan kata sandi Anda, mereka tetap tidak bisa masuk. Ada hadiah sebesar $ 500 untuk mendobrak TFA dan meskipun para penyerang white-hat memiliki nama pengguna dan kata sandi yang tidak dapat mereka masuki.

The Modul peninjauan keamanan atau Droptor dapat membantu memantau ini login gagal. Jika itu sering terjadi maka Anda harus mulai mengambil tindakan lebih banyak. Brute serangan gaya pada password hanya bekerja jika seseorang melakukan mereka banyak jadi jika itu hanya terjadi beberapa puluh kali aku tidak akan khawatir.

Anda dapat melacak alamat IP yang digunakan oleh orang ini menggunakan entri anjing penjaga dan kemudian menggunakan Aturan Akses D6 bawaan (atau yang setara dengan d7 - http://drupal.org/project/user_restrictions ) untuk memblokir akses melalui IP tersebut. Anda juga bisa menolak akses ke IP di Apache atau firewall tingkat server lainnya. Firewall / server web adalah tempat yang lebih efisien untuk memblokir pengguna dalam hal memuat di server, tetapi biasanya membutuhkan sedikit usaha lebih.

Untuk Drupal 6 dan 7, AjitS telah memberikan jawaban dengan deskripsi yang baik tentang bagaimana menggunakan fitur pembatasan tingkat untuk mencegah upaya login berulang dari IP yang sama.

Untuk Drupal 6 Anda harus memeriksa modul Keamanan Login .

Modul Keamanan Login meningkatkan opsi keamanan dalam operasi login situs Drupal. Secara default, Drupal hanya memperkenalkan kontrol akses dasar yang menolak akses IP ke konten penuh situs.

Dengan modul Keamanan Masuk, administrator situs dapat melindungi dan membatasi akses dengan menambahkan fitur kontrol akses ke formulir masuk (formulir masuk default di / pengguna dan blok yang disebut "blok formulir masuk"). Mengaktifkan modul ini, administrator situs dapat membatasi jumlah upaya login yang tidak valid sebelum memblokir akun, atau menolak akses berdasarkan alamat IP, untuk sementara atau secara permanen. Serangkaian pemberitahuan dapat membantu administrator situs untuk mengetahui kapan sesuatu terjadi dengan bentuk login situs mereka: menebak kata sandi dan akun, upaya masuk bruteforce, atau hanya perilaku tak terduga dengan operasi login.

Untuk Drupal 7, seperti yang dikatakan @saadlulu bahwa sudah ada fitur untuk mengunci akses setelah 5 upaya login yang gagal. Jika Anda ingin lebih banyak kontrol, Anda dapat mencoba modul Kontrol Banjir .

Proyek ini dimaksudkan untuk menambahkan antarmuka administrasi untuk variabel kontrol banjir tersembunyi di Drupal 7, seperti pembatas upaya login dan variabel tersembunyi apa pun di masa mendatang.

Mungkin menggunakan penggantian nama jalur admin akan membantu?

Tujuan dari modul ini adalah untuk mengamankan backend drupal dengan mengganti jalur admin.

Saya ingin menangani ini dengan cara yang sama seperti gagal login dari sumber lain (misalnya ssh, ftp) ditangani, sehingga semuanya ditangani secara konsisten. Untuk itu saya akan melihat fail2ban , yang telah saya gunakan dengan sukses melawan brute force SSH login. Ia juga masuk dengan baik ke alat pemantauan, dan memblokir di tingkat firewall, yang umumnya lebih aman daripada mencegah hanya masuk Drupal karena itu umum untuk beberapa vektor serangan berasal dari tempat yang sama, misalnya jika mereka menjalankan hal-hal seperti metasploit .

Ini sebenarnya perilaku yang benar-benar diharapkan. Setiap kali Anda mempublikasikan situs web di ip publik, dalam beberapa jam / hari Anda akan mulai mendapatkan traffic semacam itu. 99,99% dari waktu, ini hanya bot yang menjalankan skrip generik mencari aplikasi yang belum ditambal atau kata sandi mudah. Ini menjelaskan mengapa Anda melihat hit di domain.com/wp-login, host penyerang (otomatis) bahkan tidak tahu pada awalnya Anda menjalankan Drupal, ia mencoba semua jalur CMS, Wordpress, Drupal yang populer, dll ... .

Saya katakan jangan buang terlalu banyak waktu untuk mengkhawatirkan hal ini. Apa pun yang Anda lakukan, Anda akan selalu menemukan skrip ini mengikis situs Anda ... dari seluruh dunia.

Dua hal sederhana akan membuat aplikasi Anda relatif aman:

1. Sajikan halaman login dan admin melalui https

2. Memiliki kata sandi yang layak untuk admin

Apa pun skema keamanan yang Anda terapkan, SELALU memiliki cadangan barang-barang Anda baru-baru ini.

Selamat mencoba, teman tahun baru.

Apa yang Anda minta tidak logis jika Anda bermaksud menghapus atau mencegah akses ke / halaman pengguna.

Jika Anda berhasil mencegah halaman itu, bagaimana Anda akan mengaksesnya?

Plus Drupal sudah menyediakan cara untuk menghentikan serangan seperti itu dengan mengunci akses ke pengguna setelah 5 upaya.

Anda dapat membatasi upaya untuk akun admin Anda.