これらの最後の日の間、私は私のブログで、誰かがこっそりしようとしていることに気付きました。
ユーザーはログインURLを見つけようとしました(私のWebサイトはユーザー登録用に開かれていません)。したがって、my-domain.com / admin、my-domain.com / administrator ..、my-domain.com/wp-のすべてを試しました。ログイン(個人がdrupalに慣れていないことを示します。)
人が/ userになった後、彼または彼女は別のユーザー名を試してadminとしてログインしようとしました:admin、administrator ...(rootユーザーのユーザー名として「admin」を使用することはありません)
このようなことからdrupalウェブサイトを防止/保護する方法はありますか?
ありがとう
ps:d6とd7の両方でこれを行う方法に興味があります。
回答:
これらの種類のプローブは、インターネット全体で非常に一般的です。この問題をブロックし、攻撃者の成功を減らすためにできることはいくつかあります。
まず、攻撃者がユーザー名とパスワードを推測してもログインできないように、すべてのユーザーが2要素認証を使用することをお勧めします。TFAを破るには500ドルの報奨金があり、ホワイトハットの攻撃者は侵入できないユーザー名とパスワードを持っていました。
セキュリティレビューモジュールまたはDroptorは、これらの失敗したログインを監視することができます。それらが頻繁に発生する場合は、さらにアクションを開始する必要があります。誰かが彼らにない場合は、パスワードのブルートフォース攻撃のみ動作多くのことを、それはちょうど私が心配ではないだろう数十回発生した場合そう。
ウォッチドッグエントリを使用してこのユーザーが使用しているIPアドレスを追跡し、組み込みのD6アクセスルール(またはd7の同等物-http ://drupal.org/project/user_restrictions)を使用して、そのIPを介したアクセスをブロックできます。Apacheまたはその他のサーバーレベルのファイアウォールでIPへのアクセスを拒否することもできます。ファイアウォール/ウェブサーバーは、サーバーの負荷の観点からユーザーをブロックするためのより効率的な場所ですが、通常はもう少し手間がかかります。
Drupal 6および7の場合、AjitSは、同じIPからのログイン試行の繰り返しを防ぐためにレート制限機能を使用する方法を説明した回答を提供しました。
Drupal 6では、ログインセキュリティモジュールを確認する必要があります。
ログインセキュリティモジュールは、Drupalサイトのログイン操作のセキュリティオプションを改善します。デフォルトでは、Drupalは基本的なアクセス制御のみを導入し、サイトの全コンテンツへのIPアクセスを拒否します。
ログインセキュリティモジュールを使用すると、サイト管理者はアクセス制御機能をログインフォーム(/ userのデフォルトのログインフォームおよび「ログインフォームブロック」と呼ばれるブロック)に追加して、アクセスを保護および制限できます。このモジュールを有効にすると、サイト管理者は、アカウントをブロックしたり、IPアドレスによるアクセスを一時的または永続的に拒否する前に、無効なログイン試行の回数を制限できます。一連の通知は、サイト管理者がサイトのログインフォームで何かが起こっていることを知るのに役立ちます。パスワードとアカウントの推測、ブルートフォースログイン試行、またはログイン操作での予期しない動作です。
Drupal 7の場合、@ saadluluが言ったように、ログインに5回失敗するとアクセスをロックする機能がすでにあります。さらに制御したい場合は、Flood Controlモジュールを試すことができます。
このプロジェクトは、ログイン試行リミッターや将来の非表示変数など、非表示のフラッド制御変数の管理インターフェースをDrupal 7に追加することを目的としています。
他のソース(ssh、ftpなど)からの失敗したログインが処理されるのと同じ方法でこれを処理したいので、それらはすべて一貫して処理されます。そのために、私はfail2banを見ています。これは、ブルートフォースSSHログインに対して大きな成功を収めています。また、監視ツールに適切にフィードし、ファイアウォールレベルでブロックします。これは、複数の攻撃ベクトルが同じ場所から来るのが一般的であるため(たとえば、メタスプロイトなどを実行している場合) 。
これは実際に完全に予想される動作です。パブリックIPでWebサイトを公開するたびに、数時間/数日以内にその種のトラフィックを取得し始めます。99.99%の時間、これらは、パッチを当てていないアプリケーションまたは簡単なパスワードを探す汎用スクリプトを実行するボットにすぎません。これにより、domain.com / wp-loginでヒットが表示される理由が説明されます。(自動化された)攻撃ホストは、最初はDrupalを実行していることさえ知らず、人気のあるCMS、Wordpress、Drupalなどのすべてのパスを試行しています... 。
これについて心配するのに時間を無駄にしないでください。あなたが何をするにしても、これらのスクリプトは常にあなたのサイトをスクレイピングします...世界中から。
2つの簡単なことがアプリを比較的安全にします:
https経由でログインページと管理ページを提供する
管理者用の適切なパスワードを持っている
どのようなセキュリティスキームを実装する場合でも、常に最新のものをバックアップしてください。
幸運、幸せな新年の友人。
/ userページへのアクセスを削除または禁止することを意味する場合、あなたが求めていることは論理的ではありません。
どうにかしてそのページを防ぐために管理している場合、どのようにアクセスしますか?
さらに、Drupalは、5回の試行後にユーザーへのアクセスをロックすることにより、このような攻撃を阻止する方法をすでに提供しています。
ただし、管理者アカウントへの試行を制限できます。