Apakah drupal aman terhadap serangan masuk brute force?

9

Serangan brutal adalah upaya untuk mendapatkan akses tidak sah ke situs web dengan terus-menerus menghasilkan dan memasukkan berbagai kombinasi kata sandi. Tugas ini biasanya dilakukan oleh perangkat lunak otomasi ("bot") yang mencari pesan sukses atau gagal dan terus mencoba kata sandi baru sampai mendapat pesan sukses.

Apakah Drupal 7 aman terhadapnya secara default? konfigurasi apa yang lebih aman untuk itu? Modul mana yang dapat membantu saya untuk masuk lebih aman?

security Yusef
sumber
1
Jawabannya tergantung pada jenis serangan yang Anda bicarakan. Apakah maksud Anda serangan brute force di mana penyerang menebak bahwa pengguna "admin" memiliki kata sandi "Password1" dan kemudian menebak mungkin kata sandinya adalah "javagod"?
greggles
ya, sebagai judul pertanyaan serangan masuk brute force :(
Yusef

Jawaban:

12

Seperti yang dapat Anda lihat dalam kode, fungsi user_login_final_validate mendaftarkan peristiwa banjir. Itu berarti jika IP yang sama mencoba menghubungkan kata sandi pengguna / login berkali-kali kita akan "diblokir" untuk sementara waktu.

Ini adalah salah satu perlindungan yang ditawarkan Drupal. Yang lain, dan saya pikir jika itu terjadi pada situs web Anda, Anda akan melihatnya dengan sangat cepat, itu adalah tanda CSRF yang dihasilkan Drupal untuk setiap formulir.

Ini berarti bot penyerang harus membuat formulir, lalu mendapatkan token dan mengaitkannya dengan formulir kirim. Itu sangat memakan waktu dan kemungkinan akan mencegah penyerang. Tapi pertama-tama, Anda akan melihat server Anda mulai semakin panas.

yvan
sumber
untuk formulir login simulasi, Anda hanya perlu menyalin / menempelkan formulir masuk drupal. Anda dapat mengujinya, jika Anda menyalin / menempelkan html dari situs drupal lain di file pengujian lokal Anda (hanya memastikan bahwa formulir tersebut benar-benar dialihkan ke domain.com/user/ login ), jalankan secara lokal isi dengan pengguna yang valid dan Anda melihat Anda masuk !!!!!
Yusef
Formulir ini akan berfungsi selama Drupal sebagai token (dan formulir) yang di-cache pada database-nya. Setelah cache berakhir, formulir Anda tidak akan berfungsi.
yvan
Saya membersihkan cache tetapi masih bekerja
Yusef
1
Perlindungan CSRF dapat dinonaktifkan dan dinonaktifkan pada formulir login. Itu juga dinonaktifkan pada formulir pencarian. Tapi, seperti yang dikatakan Yvan, perlindungan banjir mencegah serangan brute force pada formulir itu sendiri. Ini tidak akan mencegah serangan terdistribusi dari seseorang yang memiliki akses ke botnet, tetapi analisis log (seperti Droptor) yang mencari login gagal berulang untuk pengguna yang sama akan memperbaikinya.
greggles
3

Selain langkah-langkah baik yang diterapkan Drupal 7 untuk menghentikan upaya login, saya akan menyarankan menginstal modul Spambot , yang secara khusus berkaitan dengan upaya pendaftaran pengguna baru.

Pada setiap pendaftaran pengguna baru, modul itu akan meminta server Stop Forum Spam untuk melihat apakah pengguna yang mencoba pendaftaran adalah bot yang dikenal.

Anda dapat berkontribusi opsional untuk Menghentikan Spam Forum dengan upaya pendaftaran situs web Anda.

ermannob
sumber
3

Ada kontrol Banjir

Proyek ini dimaksudkan untuk menambahkan antarmuka administrasi untuk variabel kontrol banjir tersembunyi di Drupal 7, seperti pembatas upaya login dan variabel tersembunyi apa pun di masa mendatang.

Fungsi untuk mendefinisikan dan berinteraksi dengan sistem pengendalian banjir inti

Sistem flooding memberi kita tiga fungsi:

flood_register_event($name, $window = 3600, $identifier = NULL)

Daftarkan acara untuk pengunjung saat ini ke mekanisme pengendalian banjir.

flood_clear_event($name, $identifier = NULL)

Buat mekanisme pengendalian banjir lupakan acara untuk pengunjung saat ini.

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

Cek apakah pengguna diizinkan untuk melanjutkan acara yang ditentukan. Pada dasarnya, kami memeriksa apakah pengguna memiliki akses dengan memanggil flood_is_allowed. Jika mengembalikan FALSE, lemparkan 'Akses Ditolak ”. Setiap kali pengguna melakukan tindakan yang kami sebut flood_register_event.

Secara default ia memeriksa alamat ip pengguna. Tetapi kami dapat melewati beberapa pengidentifikasi unik lainnya seperti ID pengguna.

Di atas disalin dari Playing with Drupal's flooding system

niksmac
sumber
1
Tolong jangan menyalin dan menempel dari web tanpa atribusi yang tepat
Clive
1
@Clive aku akan membereskannya mulai sekarang. Dan itulah yang ingin saya sampaikan.
niksmac
0

Memikirkan (dan mengalami) masalah ini, saya menulis sebuah modul yang memungkinkan Anda untuk mencegah serangan semacam ini: https://drupal.org/project/AntispammerBot

Anda dapat memilih peran mana yang aman, berapa banyak node yang dapat diterbitkan pengguna sebelum menganggapnya sebagai serangan spam, dll ...

Alejandro Moreno
sumber