วิธีจัดการกับคนที่พยายามเข้าสู่ระบบในฐานะผู้ดูแล?

14

ในช่วงเวลาสุดท้ายนี้ฉันสังเกตเห็นใน dblog ของฉันว่ามีคนพยายามแอบเข้าไป

บุคคลนั้นพยายามค้นหา URL การเข้าสู่ระบบ (เว็บไซต์ของฉันไม่ได้เปิดให้ลงทะเบียนผู้ใช้) ดังนั้นพวกเขาจึงลองทุกอย่างจาก my-domain.com/admin, my-domain.com/administrator .. และ my-domain.com/wp- เข้าสู่ระบบ (ซึ่งบ่งชี้ว่าคนที่ไม่คุ้นเคยกับ drupal .. )

เมื่อบุคคลจบลงด้วย / ผู้ใช้เขาหรือเธอพยายามเข้าสู่ระบบในฐานะผู้ดูแลระบบโดยพยายามใช้ชื่อผู้ใช้ที่แตกต่างกัน: ผู้ดูแลระบบผู้ดูแลระบบ ฯลฯ ... (ฉันไม่เคยใช้ 'admin' เป็นชื่อผู้ใช้สำหรับผู้ใช้รูท)

มีวิธีการป้องกัน / ป้องกันเว็บไซต์ drupal จากสิ่งต่าง ๆ นี้หรือไม่?

ขอบคุณ

ps: ฉันสนใจวิธีการนี้ทั้งสำหรับ d6 และ d7

security  users 
amstram
แหล่งที่มา

คำตอบ:

14

โพรบชนิดนี้พบมากในอินเทอร์เน็ต มีบางสิ่งที่คุณสามารถทำได้เพื่อป้องกันปัญหานี้และลดความสำเร็จของผู้โจมตี

ก่อนอื่นฉันขอแนะนำให้ทุกคนใช้การตรวจสอบสิทธิ์แบบสองระดับเพื่อให้ผู้โจมตีเดาชื่อผู้ใช้และรหัสผ่านของคุณพวกเขายังคงไม่สามารถเข้าสู่ระบบได้ มีค่าใช้จ่าย $ 500 ในการทำลาย TFAและแม้ว่าผู้โจมตี White-Hat จะมีชื่อผู้ใช้และรหัสผ่านที่พวกเขาไม่สามารถบุกเข้าไปได้

โมดูลตรวจสอบความปลอดภัยหรือDroptorสามารถช่วยตรวจสอบการเข้าสู่ระบบล้มเหลวเหล่านี้ หากเกิดขึ้นมากคุณต้องเริ่มดำเนินการมากขึ้น การโจมตีด้วยรหัสผ่านเดรัจฉานกำลังทำงานได้ก็ต่อเมื่อมีคนทำมากดังนั้นถ้ามันเกิดขึ้นเพียงไม่กี่ครั้งฉันจะไม่ต้องกังวล

คุณสามารถติดตามที่อยู่ IP ที่บุคคลนี้ใช้โดยใช้รายการเฝ้าดูจากนั้นใช้กฎการเข้าถึง D6 ในตัว (หรือเทียบเท่า d7 - http://drupal.org/project/user_restrictions ) เพื่อบล็อกการเข้าถึงผ่าน IP นั้น คุณสามารถปฏิเสธการเข้าถึง IP ใน Apache หรือไฟร์วอลล์ระดับเซิร์ฟเวอร์อื่น ๆ ไฟร์วอลล์ / เว็บเซิร์ฟเวอร์เป็นสถานที่ที่มีประสิทธิภาพมากกว่าในการบล็อกผู้ใช้ในแง่ของการโหลดบนเซิร์ฟเวอร์ แต่โดยปกติจะต้องใช้ความพยายามอีกเล็กน้อย

สำหรับ Drupal 6 และ 7 AjitS ได้ให้คำตอบพร้อมคำอธิบายที่ดีเกี่ยวกับวิธีการใช้คุณสมบัติการ จำกัด อัตราเพื่อป้องกันการพยายามล็อกอินซ้ำ ๆ จาก IP เดียวกัน

greggles
แหล่งที่มา
6
ตอนนี้ฟังดูเหมือนคำตอบจากผู้ชายจากทีม Drupal Security ;-) +1
AjitS
ความคิดที่น่าสนใจ ฉันจะเริ่มต้นด้วยการบล็อกที่อยู่ IP โดยใช้กฎการเข้าถึง d6 สองสามวันและดูว่ามันช่วยได้อย่างไร ขอบคุณทุกท่าน !
amstram
รุ่งโรจน์สำหรับคำตอบที่เขียนดี แต่เสียเวลามาก ไม่ว่าสิ่งที่คุณทำคุณจะเสมอมีสคริปต์เหล่านี้ขูดเว็บไซต์ของคุณ เพียงแค่ให้บริการผู้ดูแลระบบและหน้าเข้าสู่ระบบของคุณใน https และมีรหัสผ่านผู้ดูแลระบบที่ดี
stefgosselin
Drupal 7 ไม่บล็อกการเข้าถึงจากที่อยู่ IP ที่แน่นอนโดยอัตโนมัติหลังจากการพยายามลงชื่อเข้าใช้ล้มเหลวซ้ำแล้วซ้ำอีกหรือไม่ ฉันเคยมีลูกค้าโทรหาฉันบอกว่าเขาไม่สามารถเข้าสู่ระบบได้อีกต่อไปเพราะเขาลองผู้ใช้ของเขา / ผ่านประมาณ 5 ครั้งและล้มเหลวและตอนนี้เขาไม่สามารถเข้าสู่ระบบได้อีกต่อไปและฉันต้องล้างตารางบางส่วนจากฐานข้อมูล ..
Mario Awad
@stefgosselin https ไม่ใช่ตัวเลือกสำหรับคนจำนวนมาก แต่ฉันเห็นด้วยอย่างแน่นอนว่าเป็นขั้นตอนที่ดี ฉันยังไม่เห็นว่า https ช่วยเรื่องปัญหากำลังดุร้ายได้อย่างไร ฉันคิดว่า TFA มีประโยชน์สำหรับผู้ที่ไม่สามารถรับ https และ / หรือผู้ที่กำลังมองหาวิธีการแก้ปัญหาเพื่อโจมตีกองกำลังที่ดุร้าย
greggles
3

สำหรับ Drupal 6 คุณควรตรวจสอบโมดูลความปลอดภัยการเข้าสู่ระบบ

เข้าสู่ระบบโมดูลรักษาความปลอดภัยปรับปรุงตัวเลือกความปลอดภัยในการดำเนินการเข้าสู่ระบบของเว็บไซต์ Drupal ตามค่าเริ่มต้น Drupal แนะนำการควบคุมการเข้าถึงพื้นฐานเท่านั้นปฏิเสธการเข้าถึง IP กับเนื้อหาทั้งหมดของเว็บไซต์

ด้วยโมดูลความปลอดภัยในการเข้าสู่ระบบผู้ดูแลระบบเว็บไซต์สามารถป้องกันและ จำกัด การเข้าถึงได้โดยการเพิ่มคุณสมบัติการควบคุมการเข้าถึงลงในแบบฟอร์มการเข้าสู่ระบบ (แบบฟอร์มการเข้าสู่ระบบเริ่มต้นใน / ผู้ใช้และบล็อกที่เรียกว่า การเปิดใช้งานโมดูลนี้ผู้ดูแลไซต์อาจ จำกัด จำนวนครั้งในการเข้าสู่ระบบที่ไม่ถูกต้องก่อนที่จะบล็อกบัญชีหรือปฏิเสธการเข้าถึงด้วยที่อยู่ IP ชั่วคราวหรือถาวร ชุดการแจ้งเตือนอาจช่วยให้ผู้ดูแลไซต์ทราบเมื่อมีบางอย่างเกิดขึ้นกับรูปแบบการเข้าสู่ระบบของเว็บไซต์: รหัสผ่านและการคาดเดาบัญชีการใช้ความพยายามในการเข้าสู่ระบบที่ไม่คาดคิดหรือพฤติกรรมที่ไม่คาดคิด

สำหรับ Drupal 7 ในขณะที่ @saadlulu กล่าวว่ามีคุณสมบัติในการล็อคการเข้าถึงหลังจากพยายามเข้าสู่ระบบไม่สำเร็จ 5 ครั้ง หากคุณต้องการการควบคุมเพิ่มเติมคุณสามารถลองใช้โมดูลควบคุมน้ำท่วม

โครงการนี้มีวัตถุประสงค์เพื่อเพิ่มส่วนต่อประสานการดูแลระบบสำหรับตัวแปรควบคุมอุทกภัยที่ซ่อนอยู่ใน Drupal 7 เช่นตัวจำกัดความพยายามในการเข้าสู่ระบบและตัวแปรซ่อนใด ๆ ในอนาคต

AjitS
แหล่งที่มา
3

บางทีการใช้การ เปลี่ยนเส้นทางผู้ดูแลระบบจะช่วยได้บ้าง

วัตถุประสงค์ของโมดูลนี้คือการรักษาความปลอดภัยแบ็กเอนด์ drupal ด้วยการแทนที่เส้นทางผู้ดูแลระบบ

จอห์น
แหล่งที่มา
Mark Ferree
ใช่ฉันรู้ว่า "การรักษาความปลอดภัยผ่านความสับสน" ไม่ใช่ความปลอดภัยจริงๆ แต่จริงๆแล้วฉันตั้งใจจะตอบคำถาม ...
John
คำตอบที่ดีเปลี่ยนชื่อ / ผู้ใช้ / เข้าสู่ระบบที่กำหนดเอง / เข้าสู่ระบบ / เส้นทางจะมีประสิทธิภาพมากในการหยุดบอทจากความพยายามที่จะเข้าสู่ระบบใน URL เริ่มต้น
undersound
3

ฉันต้องการจัดการสิ่งนี้ในลักษณะเดียวกับที่การลงชื่อเข้าใช้ที่ล้มเหลวจากแหล่งอื่น (เช่น ssh, ftp) ได้รับการจัดการดังนั้นพวกเขาจึงจัดการอย่างสม่ำเสมอ เพื่อที่ฉันจะดูfail2banซึ่งฉันได้ประสบความสำเร็จอย่างมากในการใช้กับการเข้าสู่ระบบ SSH กำลังดุร้าย นอกจากนี้ยังฟีดเป็นอย่างดีในการตรวจสอบเครื่องมือและบล็อกที่ระดับไฟร์วอลล์ซึ่งโดยทั่วไปมีความปลอดภัยมากกว่าการป้องกันเพียงแค่การเข้าสู่ระบบของ Drupal เพราะมันเป็นเรื่องธรรมดาที่เวกเตอร์การโจมตีหลายครั้งจะมาจากที่เดียวกันตัวอย่างเช่น .

ซิงโคร
แหล่งที่มา
ฉันเห็นด้วย แต่การติดตั้ง drupal ที่กำลัง 'กำหนดเป้าหมาย' กำลังทำงานอยู่ในเซิร์ฟเวอร์โฮสต์ที่ใช้ร่วมกันซึ่งทำให้ฉันไม่สามารถเข้าถึงการตั้งค่าระดับเซิร์ฟเวอร์ฉันสามารถลองและป้องกันจากภายใน drupal แต่ฉันกำลังพิจารณาที่จะเปลี่ยนเป็นเซิร์ฟเวอร์เฉพาะ ในอีกไม่กี่สัปดาห์ข้างหน้า ขอบคุณ
amstram
ข้อดีอย่างหนึ่งของการไปที่ระดับไฟร์วอลล์คือ Drupal เป็นเพียงส่วนหนึ่งของพื้นผิวการโจมตีของเว็บไซต์ของคุณ หากใครบางคนไม่สามารถเข้าใช้งานผ่าน Drupal พวกเขาอาจจะดูว่า ssh หรือ ftp หรือ ... บริการอื่น ๆ กำลังทำงานอยู่หรือไม่และลองเข้าไปใช้วิธีการเหล่านั้น
greggles
3

นี่เป็นพฤติกรรมที่คาดหวังโดยสิ้นเชิง เมื่อใดก็ตามที่คุณเผยแพร่เว็บไซต์ด้วย ip สาธารณะภายในไม่กี่ชั่วโมง / วันคุณจะเริ่มได้รับปริมาณการจัดเรียง 99.99% ของเวลาเหล่านี้เป็นเพียงบอทที่เรียกใช้สคริปต์ทั่วไปเพื่อค้นหาแอปพลิเคชันที่ไม่ตรงกันหรือรหัสผ่านง่าย สิ่งนี้อธิบายได้ว่าทำไมคุณถึงเห็นเพลงฮิตบน domain.com/wp-login โฮสต์การโจมตี (อัตโนมัติ) ไม่ทราบว่าตอนแรกที่คุณใช้ Drupal นั้นกำลังพยายามเส้นทางทั้งหมดของ CMS ยอดนิยม, Wordpress, Drupal และอื่น ๆ ... .

ฉันบอกว่าอย่าเสียเวลามากไปที่จะกังวลเกี่ยวกับเรื่องนี้ สิ่งที่คุณทำคุณจะเสมอหาสคริปต์เหล่านี้ขูดเว็บไซต์ของคุณ ... จากทั่วทุกมุมโลก

สองสิ่งง่าย ๆ ที่จะทำให้แอปของคุณปลอดภัย:

  1. ทำหน้าที่เข้าสู่ระบบและหน้าผู้ดูแลระบบผ่าน https

  2. มีรหัสผ่านที่ดีสำหรับผู้ดูแลระบบ

ไม่ว่าคุณจะใช้รูปแบบการรักษาความปลอดภัยอะไรอยู่เสมอจะมีการสำรองข้อมูลล่าสุดของคุณ

ขอให้โชคดีมีความสุขปีใหม่เพื่อน

stefgosselin
แหล่งที่มา
2

สิ่งที่คุณขอไม่ใช่เหตุผลถ้าคุณหมายถึงการลบหรือป้องกันการเข้าถึง / หน้าผู้ใช้

หากคุณจัดการเพื่อป้องกันหน้านั้นคุณจะเข้าใช้อย่างไร

Plus Drupal มีวิธีในการหยุดการโจมตีดังกล่าวโดยล็อคการเข้าถึงผู้ใช้หลังจาก 5 ครั้ง

คุณสามารถจำกัดความพยายามของบัญชีผู้ดูแลระบบของคุณได้

saadlulu
แหล่งที่มา
สวัสดีขอขอบคุณสำหรับการตอบกลับ ฉันไม่ได้ขออะไรที่เฉพาะเจาะจง ฉันแค่มองหาแนวคิดเกี่ยวกับวิธีจัดการกับสิ่งนี้ ฉันคิดว่า '5 ความพยายามล้มเหลวในการล็อค' เป็นคุณสมบัติของ drupal 7 เท่านั้นใช่ไหม เป็นไปได้ไหมที่จะใช้คุณสมบัติที่คล้ายกันใน Drupal 6?
amstram
ฉันไม่รู้เพราะพื้นหลังของฉันเป็นเพียง Frupal 7 ฉันจะปล่อยให้พี่ชายของฉันจาก Drupal 6 :) คุณสามารถทำฉันโปรดปรานและยอมรับคำตอบของฉันถ้าคุณชอบมัน
saadlulu
saadlulu
"คำตอบ" นี้ไม่ค่อยดีนักเนื่องจากการพยายามปิดกั้น 5 ครั้งเป็นเพียง Drupal 7 และมีสิ่งที่ต้องทำเพื่อป้องกันปัญหาเสมอไป
Greggles
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.