Quelqu'un essaie de forcer brutalement le mot de passe

10

En regardant le journal du site, j'ai constaté que quelqu'un avec l'adresse IP: 91.236.74.135 envoie méthodiquement des demandes à la page: / user? Destination = node / add de mon site Web Drupal. Il le fait une fois toutes les heures. C'est définitivement un bot. Je pense qu'il essaie de forcer le mot de passe. Pour l'instant je l'ai banni en .htaccess avec

deny from 91.236.74.135

Quelqu'un peut-il donner un conseil, comment protéger le site contre les attaques par force brute sur les connexions?

user4035
la source
Pour la connexion administrateur, vous pouvez autoriser la connexion à partir d'une seule adresse IP uniquement. Quels sont les paramètres de post-demande BTW?
AgA
> "Quels sont les paramètres de post-demande BTW?" Ils n'ont pas été enregistrés dans le journal.
user4035

Réponses:

14

J'ai deux idées pour résoudre ce problème.

Il existe des outils et des services que vous pouvez utiliser pour rechercher des attaques par force brute. Le module de vérification de la sécurité et les outils droptor regardent tous les deux dans votre chien de garde (dans Administrer> Rapports> Messages de journal récents) pour voir si vous avez beaucoup de connexions échouées pour un utilisateur. Vous pouvez également le faire manuellement.

Dans Drupal 7, la fonctionnalité "règles d'accès" a été supprimée du noyau mais déplacée vers un module contribué - Restrictions utilisateur . En utilisant ce module, vous pouvez bloquer les utilisateurs d'une adresse IP spécifique. Les règles de refus Apache seront légèrement plus rapides si vous avez un nombre relativement petit de règles mais les règles Drupal sont plus faciles à ajouter / mettre à jour / supprimer.

greggles
la source
2

Vérifiez sur fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) si vous avez accès au serveur. Cela vous permettra de limiter la fréquence à laquelle quelqu'un peut frapper à la porte d'entrée avant d'être bloqué (temporairement ou définitivement).

Par exemple sur le site Web:

Fail2ban analyse les fichiers journaux (par exemple / var / log / apache / error_log) et interdit les adresses IP qui montrent les signes malveillants - trop de pannes de mot de passe, recherche d'exploits, etc. une durée spécifiée, bien que toute autre action arbitraire (par exemple, l'envoi d'un e-mail ou l'éjection d'un plateau de CD-ROM) puisse également être configurée. Prêt à l'emploi, Fail2Ban est livré avec des filtres pour divers services (apache, curier, ssh, etc.).

William
la source
2

Consultez également le module Sécurité de connexion .

Le module de sécurité de connexion améliore les options de sécurité dans l'opération de connexion d'un site Drupal. Par défaut, Drupal n'introduit que le contrôle d'accès de base refusant l'accès IP au contenu complet du site.

Avec le module de sécurité de connexion, un administrateur de site peut protéger et restreindre l'accès en ajoutant des fonctionnalités de contrôle d'accès aux formulaires de connexion (formulaire de connexion par défaut dans / user et le bloc appelé "bloc de formulaire de connexion"). En activant ce module, un administrateur de site peut limiter le nombre de tentatives de connexion non valides avant de bloquer des comptes ou de refuser l'accès par adresse IP, temporairement ou définitivement.

Bill Winett
la source
1

Je ne pense pas qu'il existe un bon moyen de le faire au sein de Drupal.

Vous devriez envisager de configurer vos paramètres de serveur Web et / ou de pare-feu pour appliquer les limites de demande.

jdu
la source