Чи безпечно drupal від атаки входу на грубі сили?

9

Напад грубої сили - це спроба отримати несанкціонований доступ до веб-сайту шляхом постійного генерування та введення різних комбінацій пароля. Це завдання, як правило, виконується програмним забезпеченням для автоматизації ("ботом"), яке шукає повідомлення про успіх чи помилку і продовжує пробувати нові паролі, поки не отримає повідомлення про успіх.

Чи безпечно проти нього Drupal 7? яка безпечна конфігурація для нього? Який модуль може допомогти мені для більш безпечного входу?

security

— Юсеф
джерело

1

Відповідь залежить від того, про яку атаку ви говорите. Ви маєте на увазі грубу силову атаку, коли зловмисник здогадується, що користувач "admin" має пароль "Password1", а потім здогадується, що пароль "javagod"?

— грегліть

так, як заголовок питання грубої атаки входу в систему :(

— Yusef

12

Як ви бачите в коді, функція user_login_final_validate реєструє подію повені. Це означає, що якщо один і той же IP спробує підключити пароль користувача / логін багато разів, нас на деякий час буде "заборонено".

Це один із захистів, які пропонує Drupal. Ще один, і я думаю, якщо це трапиться на вашому веб-сайті, ви помітите це дуже швидко, це Druken-маркер, який генерується для кожної форми.

Це означає, що бот-атакуючий повинен генерувати форму, потім отримати маркер і пов’язати його з формою подання. Це дуже забирає багато часу і, ймовірно, відштовхне нападника. Але спочатку ви побачите, що ваш сервер починає нагріватися.

— іван
джерело

для моделювання форми для входу вам просто потрібно скопіювати / вставити drupal login form. Ви можете перевірити це, якщо ви скопіюєте / вставте html іншого веб-сайту drupal у вашому локальному тестовому файлі (точно впевнені дії форми абсолютно перенаправлені на domain.com/user/ увійдіть ), запустіть його локально, заповніть його дійсним користувачем та передайте, що ви бачитесь !!!!!

— Юсеф

Ця форма працюватиме до тих пір, як Drupal, як маркер (і форма), кешований у його базі даних. Після закінчення терміну дії кешування ваша форма не працюватиме.

— іван

Я очистив кеш, але працюю досі

— Yusef

1

Захист CSRF можна відключити та відключити у формі входу. Він також відключений у формі пошуку. Але, як заявив yvan, захист від повені запобігає жорстоким атакам на саму форму. Це не завадить розповсюдженій атаці того, хто мав доступ до ботнету, але аналіз журналу (щось на зразок Droptor), який шукає повторні невдалі входи для того самого користувача, це виправить.

— греггель

3

Крім хороших заходів, які застосовує Drupal 7 для зупинки спроб входу, я б запропонував встановити модуль Spambot , який спеціально стосується нових спроб реєстрації користувачів.

При кожній новій реєстрації користувача цей модуль буде запитувати сервер Spam Forum Spam, щоб перевірити, чи є користувач, який намагається зареєструватись, відомим ботом.

Ви можете додатково сприяти зупинці спаму на форумі за допомогою спроб реєстрації вашого веб-сайту.

— ermannob
джерело

3

Є контроль проти повінь

Цей проект призначений для додавання інтерфейсу адміністрування для прихованих змінних параметрів управління потоком в Drupal 7, як обмежувачів спроб входу та будь-яких майбутніх прихованих змінних.

Функції визначення та взаємодії з базовою системою контролю затоплення

Система затоплення надає нам три функції:

flood_register_event($name, $window = 3600, $identifier = NULL)

Зареєструйте подію для поточного відвідувача механізму боротьби з паводками.

flood_clear_event($name, $identifier = NULL)

Змусьте механізм контролю затоплення забути про подію для поточного відвідувача.

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

Перевіряє, чи дозволено користувачеві продовжувати вказану подію. В основному, ми перевіряємо, чи має користувач доступ, зателефонувавши в poplave_is_allowed. Якщо вона повертається FALSE, киньте "Заборонено доступ". Щоразу, коли користувач виконує дію, ми називаємо poplava_register_event.

За замовчуванням він перевіряє ip-адресу користувача. Але ми можемо передати якийсь інший унікальний ідентифікатор, такий як ідентифікатор користувача.

Вище скопійовано з програми « Граючи з системою затоплення Drupal»

— niksmac
джерело

1

Будь ласка, не копіюйте та вставляйте з Інтернету без належної атрибуції

— Clive

1

@Clive я про це подбаю відтепер. І ось те, що я хочу передати, хоча.

— niksmac

0

Розмірковуючи (і маючи) цю проблему, я написав модуль, який дозволяє вам запобігти подібним випадам: https://drupal.org/project/AntispammerBot

Ви можете вибрати, які ролі безпечні, скільки вузлів може публікувати користувач, перш ніж вважати це спам-атакою тощо.

— Алехандро Морено
джерело