Alguien está tratando de forzar la contraseña

10

Al observar el registro del sitio, descubrí que alguien con la dirección IP: 91.236.74.135 está enviando metódicamente solicitudes a la página: / user? Destination = node / add de mi sitio web de Drupal. Lo hace una vez cada hora. Definitivamente es un bot. Creo que está tratando de forzar la contraseña. Por ahora lo prohibí en .htaccess con

deny from 91.236.74.135

¿Alguien puede dar un consejo, cómo proteger el sitio de los ataques de fuerza bruta en los inicios de sesión?

usuario4035
fuente
Para el inicio de sesión de administrador, puede permitir iniciar sesión solo desde una única IP. ¿Cuáles son los parámetros de solicitud posterior, por cierto?
AgA
> "¿Cuáles son los parámetros posteriores a la solicitud BTW?" No fueron guardados en el registro.
usuario4035

Respuestas:

14

Tengo dos ideas para ayudar con este problema.

Existen herramientas y servicios que puede usar para buscar ataques de fuerza bruta. El módulo de revisión de seguridad y las herramientas de droptor miran en su perro guardián (en Administrar> Informes> Mensajes de registro recientes) para ver si tiene muchos inicios de sesión fallidos para un usuario. También puedes hacerlo manualmente.

En Drupal 7, la función "reglas de acceso" se eliminó del núcleo, pero se trasladó a un módulo contribuido: Restricciones del usuario . Usando ese módulo puede bloquear a los usuarios de una dirección IP específica. Las reglas de denegación de Apache serán un poco más rápidas si tiene un número relativamente pequeño de reglas, pero las reglas de Drupal son más fáciles de agregar / actualizar / eliminar.

greggles
fuente
2

Regístrese en fail2ban (http://www.fail2ban.org/wiki/index.php/Main_Page) si tiene acceso al servidor. Te permitirá poner límites a la frecuencia con la que alguien puede golpear la puerta de entrada antes de que te bloqueen (temporal o permanentemente).

Por ejemplo, desde el sitio web:

Fail2ban escanea los archivos de registro (por ejemplo, / var / log / apache / error_log) y prohíbe las IP que muestran signos maliciosos: demasiadas fallas de contraseña, búsqueda de vulnerabilidades, etc. una cantidad de tiempo especificada, aunque también podría configurarse cualquier otra acción arbitraria (por ejemplo, enviar un correo electrónico o expulsar la bandeja de CD-ROM). Fuera de la caja, Fail2Ban viene con filtros para varios servicios (apache, curier, ssh, etc.).

Guillermo
fuente
2

Además, consulte el módulo Seguridad de inicio de sesión .

El módulo de seguridad de inicio de sesión mejora las opciones de seguridad en la operación de inicio de sesión de un sitio de Drupal. Por defecto, Drupal introduce solo el control de acceso básico que niega el acceso IP al contenido completo del sitio.

Con el módulo de Seguridad de inicio de sesión, un administrador del sitio puede proteger y restringir el acceso agregando funciones de control de acceso a los formularios de inicio de sesión (formulario de inicio de sesión predeterminado en / user y el bloque denominado "bloque de formulario de inicio de sesión"). Al habilitar este módulo, un administrador del sitio puede limitar la cantidad de intentos de inicio de sesión no válidos antes de bloquear cuentas o denegar el acceso por dirección IP, temporal o permanentemente.

Bill Winett
fuente
1

No creo que haya una buena manera de hacerlo dentro de Drupal.

Debería considerar la configuración de su servidor web y / o firewall para hacer cumplir los límites de solicitud.

jdu
fuente