ব্রুপ ফোর্স লগইন আক্রমণগুলির বিরুদ্ধে ড্রুপাল কি নিরাপদ?


9

একটি নিষ্ঠুর শক্তি আক্রমণ ক্রমাগত উত্পন্ন করে এবং একটি পাসওয়ার্ডের বিভিন্ন সংমিশ্রণ ইনপুট দ্বারা একটি ওয়েবসাইটে অননুমোদিত অ্যাক্সেস অর্জন করার প্রচেষ্টা। এই কাজটি সাধারণত অটোমেশন সফ্টওয়্যার (একটি "বট") দ্বারা সম্পন্ন হয় যা সাফল্য বা ব্যর্থতার বার্তাগুলি সন্ধান করে এবং সাফল্যের বার্তা না পাওয়া পর্যন্ত নতুন পাসওয়ার্ড চেষ্টা করে চলে।

ডিফলাল 7 ডিফল্টরূপে এর বিরুদ্ধে নিরাপদ? এর জন্য আরও সুরক্ষিত কনফিগারেশন কী? কোন মডিউল আমাকে আরও সুরক্ষিত সাইন ইন করতে সহায়তা করতে পারে?


1
আপনি কোন ধরনের আক্রমণ সম্পর্কে কথা বলছেন তার উপরে উত্তর নির্ভর করে। আপনি কী বোঝাতে চাইছেন এমন একটি হিংস্র বাহিনী আক্রমণ যেখানে আক্রমণকারী অনুমান করে যে "প্রশাসক" ব্যবহারকারীর "পাসওয়ার্ড 1" এর একটি পাসওয়ার্ড রয়েছে এবং তারপরে অনুমান করতে পারে যে পাসওয়ার্ডটি "জাভাগোড"?
গ্রেগলস

হ্যাঁ, প্রশ্নোত্তর বল প্রয়োগের আক্রমণ শিরোনাম হিসাবে :(
ইউসুফ

উত্তর:


12

আপনি কোডটিতে দেখতে পাচ্ছেন, ব্যবহারকারী_লগিন_ফাইনাল_ডিয়্যালিটি ফাংশনটি বন্যার ইভেন্টটি নিবন্ধ করুন। এর অর্থ যদি একই আইপি কোনও ব্যবহারকারী / লগইন পাসওয়ার্ডকে বহুবার সংযোগ দেওয়ার চেষ্টা করে তবে আমরা কিছু সময়ের জন্য "নিষিদ্ধ" হয়ে যাব।

এটি দ্রুপাল যে সুরক্ষা সরবরাহ করে তার মধ্যে একটি। আর একটি, এবং আমি মনে করি এটি যদি আপনার ওয়েব সাইটে ঘটে তবে আপনি এটি খুব দ্রুত লক্ষ্য করবেন, এটি সিএসআরএফ টোকেন যা প্রতিটি ফর্মের জন্য দ্রুপাল জেনারেট করে।

এর অর্থ হ'ল আক্রমণকারী বট ফর্মটি তৈরি করতে হবে, তারপরে টোকেনটি পাবে এবং এটি জমা দেওয়ার ফর্মের সাথে সংযুক্ত করবে। এটি অত্যন্ত সময়সাপেক্ষ এবং সম্ভবত আক্রমণকারীকে নিরুৎসাহিত করবে। তবে প্রথমে আপনি দেখতে পাবেন যে আপনার সার্ভারটি আরও গরম হতে শুরু করে।


সিমুলেশন লগইন আপনার শুধু প্রয়োজন কপি ফর্ম জন্য / Drupal লগইন পেস্ট form.you, এটি পরীক্ষা করতে পারেন আপনি অনুলিপি / আপনার স্থানীয় পরীক্ষা ফাইল অন্য Drupal সাইটের HTML পেস্ট করুন (ফর্মের ঠিক নিশ্চিত কর্ম absolutly হয় পুনর্নির্দেশ domain.com/user/ লগইন করুন ), এটি স্থানীয়ভাবে চালান এটি বৈধ ব্যবহারকারীর সাথে পূরণ করুন এবং আপনি লগ ইন দেখতে পাচ্ছেন !!!!!
ইউসুফ

এই ফর্মটি যতক্ষণ না দ্রুপাল তার ডাটাবেসে টোকেন (এবং ফর্ম) হিসাবে ক্যাশে থাকবে ততক্ষণ কাজ করবে। একবার ক্যাশে মেয়াদ শেষ হয়ে গেলে আপনার ফর্মটি কাজ করবে না।
yvan

আমি ক্যাশে সাফ করেছি কিন্তু এখনও কাজ করছি
ইউসুফ

1
সিএসআরএফ সুরক্ষা অক্ষম করা যেতে পারে এবং লগইন ফর্মটিতে অক্ষম করা যায়। এটি অনুসন্ধান ফর্মটিতেও অক্ষম। তবে, ইয়ান যেমন বলেছে, বন্যা সুরক্ষা নিজেই ফর্মের উপর আক্রমণাত্মক বাহিনী আক্রমণ প্রতিরোধ করে। এটি এমন কোনও ব্যক্তির কাছ থেকে বিতরণ করা আক্রমণকে আটকাতে পারে না যার কাছে বোটনেটের অ্যাক্সেস ছিল তবে লগ বিশ্লেষণ (ড্রপটরের মতো কিছু) যা একই ব্যবহারকারীর জন্য বারবার ব্যর্থ লগইনগুলির সন্ধান করে তা ঠিক করে দেবে।
গ্রেগলগুলি

3

লগইন প্রচেষ্টা বন্ধ করার জন্য ড্রুপাল 7 কার্যকর পদক্ষেপগুলি ছাড়াও, আমি স্প্যামবট মডিউলটি ইনস্টল করার পরামর্শ দেব , যা বিশেষত নতুন ব্যবহারকারী নিবন্ধকরণ প্রচেষ্টা নিয়ে কাজ করে।

প্রতিটি নতুন ব্যবহারকারীর রেজিস্ট্রেশনে, এই মডিউলটি ফোরাম স্প্যাম সার্ভারটি বন্ধ করে জিজ্ঞাসা করবে যে ব্যবহারকারী নিবন্ধকরণের চেষ্টা করছেন এটি পরিচিত বট কিনা see

আপনি আপনার ওয়েবসাইটটির নিবন্ধকরণের প্রচেষ্টা সহ ফোরাম স্প্যাম বন্ধ করুন optionচ্ছিকভাবে অবদান রাখতে পারেন।


3

নেই বন্যা নিয়ন্ত্রণ

এই প্রকল্পটি লগইন প্রচেষ্টা সীমাবদ্ধকারী এবং যে কোনও ভবিষ্যতে লুকানো ভেরিয়েবলের মতো, ড্রুপাল in এ লুকানো বন্যা নিয়ন্ত্রণের ভেরিয়েবলগুলির জন্য প্রশাসনিক ইন্টারফেস যুক্ত করার উদ্দেশ্যে।

মূল বন্যা নিয়ন্ত্রণ ব্যবস্থার সাথে সংজ্ঞা ও ইন্টারঅ্যাক্ট করার কাজগুলি

বন্যার ব্যবস্থা আমাদের তিনটি ফাংশন সরবরাহ করে:

flood_register_event($name, $window = 3600, $identifier = NULL)

বন্যা নিয়ন্ত্রণ ব্যবস্থায় বর্তমান দর্শকের জন্য একটি ইভেন্ট নিবন্ধ করুন।

flood_clear_event($name, $identifier = NULL)

বন্যা নিয়ন্ত্রণ ব্যবস্থাকে বর্তমান দর্শকের জন্য কোনও অনুষ্ঠানের কথা ভুলে যান।

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

নির্দিষ্ট ইভেন্টের সাথে ব্যবহারকারীকে এগিয়ে যাওয়ার অনুমতি দেওয়া হয়েছে কিনা তা পরীক্ষা করে। মূলত, আমরা কোনও ব্যবহারকারীকে বন্যা_আইস_কে বাতিল বলে কল করে অ্যাক্সেস পেয়েছি কিনা তা যাচাই করি। যদি এটি মিথ্যা ফেরত দেয় তবে একটি 'অ্যাক্সেস অস্বীকৃত' নিক্ষেপ করুন। যখনই কোনও ব্যবহারকারী ক্রিয়া সম্পাদন করে তখনই আমরা প্লাবন-নিবন্ধক_আভেন্ট বলি।

ডিফল্টরূপে এটি ব্যবহারকারীর আইপি ঠিকানাটি পরীক্ষা করে। তবে আমরা ব্যবহারকারীর আইডির মতো আরও কিছু অনন্য সনাক্তকারী পাস করতে পারি।

উপরে ড্রপালের বন্যা সিস্টেমের সাথে প্লে করা থেকে অনুলিপি করা হয়েছে


1
দয়া করে যথাযথ অ্যাট্রিবিউশন ব্যতীত ওয়েব থেকে কপি এবং পেস্ট করবেন না
ক্লাইভ

1
@ ক্লাইভ আমি এখন থেকে এটি যত্ন নেব। এবং আমি যদিও জানাতে চাই thats।
নিক্সম্যাক

0

এই সমস্যাটি ভাবছেন (এবং করছেন), আমি একটি মডিউল লিখেছিলাম যা আপনাকে এই ধরণের আক্রমণ প্রতিরোধ করতে দেয়: https://drupal.org/project/AntispammerBot

কোন ভূমিকাটি নিরাপদ, কোনও স্প্যাম আক্রমণ ইত্যাদি বিবেচনা করার আগে ব্যবহারকারী কতগুলি নোড প্রকাশ করতে পারে তা আপনি চয়ন করতে পারেন ...

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.