Como lidar com alguém tentando fazer login como administrador?

Durante esses últimos dias, notei no meu dblog, que alguém estava tentando se esconder.

A pessoa tentou encontrar o URL de login (meu site não está aberto para registro do usuário) e tentou tudo, entre meu-domínio.com/admin, meu-domínio.com/administrador .. e também meu-domínio.com/wp- login (que indica que a pessoa não está familiarizada com o drupal ..)

Depois que a pessoa terminou com / usuário, ele tentou fazer login como administrador, tentando diferentes nomes de usuário: admin, administrador, etc ... (nunca uso 'admin' como um nome de usuário para o usuário root)

existe uma maneira de impedir / proteger um site drupal desse tipo de coisa?

obrigado

ps: estou interessado em como fazer isso para d6 e d7.

Esses tipos de sondas são muito comuns na Internet. Existem algumas coisas que você pode fazer para bloquear esse problema e reduzir o sucesso de um invasor.

Primeiro, recomendo que todos usem a autenticação de dois fatores para que, mesmo que o invasor adivinhe seu nome de usuário e senha, ele ainda não consiga entrar. Havia uma recompensa de US $ 500 para violar o TFA e, embora os atacantes de chapéu branco tivessem nome de usuário e senha, não puderam violar.

O módulo de revisão de segurança ou o Droptor pode ajudar a monitorar esses logons com falha. Se eles acontecem muito, você precisa começar a tomar mais ações. Os ataques de força bruta às senhas só funcionam se alguém os faz muito, por isso, se acontecer apenas algumas dúzias de vezes, não me preocuparia.

Você pode rastrear o endereço IP em uso por essa pessoa usando entradas do watchdog e, em seguida, usar as Regras de acesso do D6 internas (ou o equivalente do d7 - http://drupal.org/project/user_restrictions ) para bloquear o acesso por esse IP. Você também pode negar o acesso ao IP no Apache ou em algum outro firewall no nível do servidor. O firewall / servidor da web é um local mais eficiente para bloquear os usuários em termos de carga no servidor, mas geralmente requer um pouco mais de esforço.

Para os Drupal 6 e 7, o AjitS forneceu uma resposta com uma boa descrição de como usar um recurso de limitação de taxa para impedir repetidas tentativas de login a partir do mesmo IP.

Para o Drupal 6, você deve verificar o módulo Login Security .

O módulo Segurança de login melhora as opções de segurança na operação de login de um site Drupal. Por padrão, o Drupal introduz apenas o controle de acesso básico, negando o acesso IP ao conteúdo completo do site.

Com o módulo Segurança de login, um administrador do site pode proteger e restringir o acesso adicionando recursos de controle de acesso aos formulários de login (formulário de login padrão em / user e o bloco chamado "bloco de formulário de login"). Ativando este módulo, o administrador do site pode limitar o número de tentativas inválidas de login antes de bloquear contas ou negar o acesso por endereço IP, temporária ou permanentemente. Um conjunto de notificações pode ajudar o administrador do site a saber quando algo está acontecendo com o formulário de login do site: adivinhação de senha e conta, tentativas de login no bruteforce ou apenas comportamento inesperado com a operação de login.

Para o Drupal 7, como o @saadlulu disse que já existe um recurso para bloquear o acesso após 5 tentativas malsucedidas de fazer login. Se você quiser mais controle, tente o módulo Flood Control .

Este projeto pretende adicionar uma interface de administração para variáveis ​​ocultas de controle de inundação no Drupal 7, como os limitadores de tentativas de login e quaisquer variáveis ​​ocultas futuras.

Talvez o uso de renomear caminhos de administração ajudaria?

O objetivo deste módulo é proteger o back-end do drupal, substituindo o caminho do administrador.

Eu gostaria de lidar com isso da mesma maneira que logins com falha de outras fontes (por exemplo, ssh, ftp) são tratados, para que todos sejam tratados de maneira consistente. Para isso, estarei analisando o fail2ban , que tive grande sucesso usando contra logins SSH de força bruta. Ele também alimenta muito bem as ferramentas de monitoramento e os bloqueios no nível do firewall, o que geralmente é mais seguro do que impedir apenas os logins do Drupal, porque é comum que vários vetores de ataque venham do mesmo local, por exemplo, se eles executam coisas como metasploit .

Este é realmente um comportamento totalmente esperado. Sempre que você publicar um site em um IP público, dentro de horas / dias, você começará a receber tráfego desse tipo. 99,99% do tempo, esses são apenas robôs que executam um script genérico procurando aplicativos sem patches ou senhas fáceis. Isso explica por que você vê acessos em domain.com/wp-login, o host de ataque (automatizado) nem sabe inicialmente que você está executando o Drupal, está tentando todos os caminhos dos populares CMSs, Wordpress, Drupal, etc. .

Eu digo que não perca muito tempo se preocupando com isso. O que quer que você faça, sempre encontrará esses scripts raspando seu site ... de todo o mundo.

Duas coisas simples tornarão seu aplicativo relativamente seguro:

1. Servir páginas de login e administração via https

2. Tenha uma senha decente para administrador

Qualquer que seja o esquema de segurança que você implemente, SEMPRE tenha um backup recente de suas coisas.

Boa sorte, feliz amigo de ano novo.

O que você está pedindo não é lógico se você quer dizer remover ou impedir o acesso à página / usuário.

Se você conseguir impedir de alguma forma essa página, como vai acessá-la?

Além disso, o Drupal já fornece uma maneira de interromper esses ataques bloqueando o acesso a um usuário após cinco tentativas.

Você pode limitar as tentativas para sua conta de administrador.