如何处理试图以管理员身份登录的人?


14

在这最后几天,我在dblog中注意到有人试图偷偷摸摸。

该人尝试查找登录网址(我的网站未打开供用户注册),因此他们尝试了my-domain.com/admin、my-domain.com/administrator ..以及my-domain.com/wp-登录(表示该人不熟悉drupal。)

一旦此人最终以/ user身份登录,他或她尝试通过尝试使用其他用户名(例如admin,administrator等)以admin身份登录(我从未将'admin'用作根用户的用户名)

有什么方法可以防止/保护Drupal网站免受此类攻击?

谢谢

ps:我对d6和d7都感兴趣。

Answers:


14

这些类型的探针在互联网上非常普遍。您可以采取一些措施来阻止此问题并降低攻击者的成功率。

首先,我建议每个人都使用“双重身份验证”,这样即使攻击者猜测您的用户名和密码仍然无法登录。破解TFA可获得500美元赏金,尽管白帽攻击者拥有无法破解的用户名和密码。

安全检查模块Droptor可以帮助监控这些失败的登录。如果它们经常发生,那么您需要开始采取更多的措施。在密码蛮力攻击只要有人做他们的工作很多,所以如果它只是发生了几十倍,我不会担心。

您可以使用看门狗条目跟踪此人正在使用的IP地址,然后使用内置的D6访问规则(或d7等效项-http: //drupal.org/project/user_restrictions)来阻止通过该IP的访问。您也可以拒绝对Apache或其他服务器级别防火墙中IP的访问。防火墙/ Web服务器在阻止服务器负载方面是一种更有效的阻止用户的方式,但是通常需要付出更多的努力。

对于Drupal 6和7,AjitS提供了一个很好的说明,说明如何使用速率限制功能来防止同一IP重复登录。


6
现在,这听起来像是Drupal安全团队的一个人的答案;-) +1
AjitS 2012年

有趣的想法。我将从使用d6访问规则阻止IP地址开始几天,然后看看有什么帮助。感谢大家 !
amstram 2012年

良好的书面答谢声,但浪费大量时间。无论您做什么,都将始终使用这些脚本来抓取您的网站。只需在https中提供您的管理员和登录页面,并拥有一个体面的管理员密码即可。
stefgosselin

多次失败的登录尝试后,Drupal 7会不会自动阻止从某个IP地址进行访问?我曾经有一个客户打电话给我,说他在尝试5次用户/通行证并失败后无法登录,现在他无法登录了,我不得不从数据库中清理一些表以允许他回访。 ..
Mario Awad 2013年

对于许多人来说,@ stefgosselin https并不是一个选择,尽管我当然同意这是一个好步骤。我也看不到https如何真正解决暴力问题。我认为TFA对于无法获得https和/或真正在寻找解决暴力攻击的方法的人很有帮助。
greggles 2013年

3

对于Drupal 6,您应该检查Login Security模块。

登录安全模块改进了Drupal站点的登录操作中的安全选项。默认情况下,Drupal仅引入基本访问控制,拒绝对站点全部内容的IP访问。

使用登录安全性模块,站点管理员可以通过在登录表单(/ user中的默认登录表单和称为“登录表单块”的块)中添加访问控制功能来保护和限制访问。启用此模块,站点管理员可以在临时或永久阻止帐户或拒绝IP地址访问之前限制无效登录尝试的次数。一组通知可以帮助站点管理员了解其站点的登录表单何时发生了什么:密码和帐户猜测,暴力登录尝试或登录操作的意外行为。

对于@@ adadlulu来说,对于Drupal 7,已经有5次尝试登录失败后锁定访问权限的功能。如果您想要更多控制权,则可以尝试洪水控制模块。

该项目旨在为Drupal 7中的隐藏的洪水控制变量添加一个管理界面,例如登录尝试限制器和任何将来的隐藏变量。


3

也许使用 重命名管理路径会有所帮助?

该模块的目的是通过覆盖管理路径来保护drupal后端。



是的,我知道“默默无闻的安全性”根本不是真正的安全性,但是我实际上的目的是回答这个问题……
John

很好的答案,重命名/用户/注册定制/登录/路径可以是非常有效的,从试图登录的默认网址停止机器人
undersound

3

我想以与处理来自其他来源(例如ssh,ftp)的失败登录相同的方式来处理此问题,因此将它们统一处理。为此,我要看一下fail2ban,我在使用蛮力SSH登录时取得了很大的成功。它还很好地提供给监视工具,并在防火墙级别进行阻止,这通常比仅阻止Drupal登录更为安全,因为多个攻击媒介来自同一位置是很常见的,例如,如果它们正在运行metasploit之类的东西。


我同意,但是此“目标安装”的drupal安装在共享托管服务器中运行,这阻止了我访问服务器级别的设置,我只能尝试保护它不受drupal的影响,但我正在考虑将其切换到专用服务器在接下来的几周内。谢谢
amstram 2012年

进入防火墙级别的好处之一是Drupal只是站点攻击面的一部分。如果某人无法通过Drupal进入,他们很可能会查看ssh或ftp或其他服务是否正在运行,然后尝试通过这些方法进入。
greggles

3

这实际上是完全预期的行为。每当您在公共ip上发布网站时,数小时/天之内,您就会开始获得类似的流量。99.99%的时间,这些机器人只是运行通用脚本的机器人,以寻找未打补丁的应用程序或简单的密码。这就解释了为什么您在domain.com/wp-login上看到点击,为什么(自动)攻击主机最初甚至不知道您正在运行Drupal,它正在尝试流行的CMS,Wordpress,Drupal等的所有路径... 。

我说不要为此浪费太多时间。无论您做什么工作,都总是会发现这些脚本抓取了您的网站...来自世界各地。

两个简单的事情将使您的应用程序相对安全:

  1. 通过https服务登录和管理页面

  2. 有一个体面的管理员密码

无论您实施哪种安全方案,都始终对您的内容进行最新备份。

祝你好运,新年快乐。


2

如果您要删除或阻止访问/ user页面,那么您要的是不合逻辑的。

如果您设法以某种方式阻止该页面,您将如何访问它?

Plus Drupal已经提供了一种方法,可以通过5次尝试锁定对用户的访问来阻止此类攻击。

您可以将尝试次数限制为您的管理员帐户。


您好,谢谢您的回覆。我没有要求任何特定的东西。我只是在寻找有关如何处理此问题的想法。我认为“ 5次失败尝试锁定”是drupal 7的唯一功能,对吗?是否可以在Drupal 6中实现类似的功能?
amstram 2012年

我不知道,因为我的背景只有Frupal7。我将把它留给Drupal 6 :)的兄弟们。如果您愿意,可以帮我一个忙,接受我的回答。
saadlulu 2012年

您还可以检查此模块的登录安全性
saadlulu 2012年

这个“答案”不是一个好答案,因为5次尝试锁定仅是Drupal 7,而且总有很多事情可以防止该问题发生,甚至超出此范围。
greggles
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.