Onderwerp: csf lfd drupal failed logins.

Op mijn server worden een aantal drupal sites gehost.
Ik zie dat er systematisch geprobeerd wordt om accounts te bruteforce. Iemand hiervoor een automatische oplossing?

Oorspronkelijk geplaatst door rpr

Iemand hiervoor een automatische oplossing?

Meerdere oplossingen zelfs, of je gebruikt een externe WAF (Web Application Firewall) zoals cloudflare, incapsula, ... of je gebruikt een lokale WAF op je server zoals mod_security en maakt rules aan of download ze van ergens (free, opensource of commercieel) of je gebruikt een IDS/IPS zoals snort, suricata, bro, ossec (security onion, ossim beide os'en met de nodige tools) of je gebruikt je huidige iptables/ipfw en zet gewoon een connectie limiet per ip (houdt de attack niet tegen maar vertraagt het wel, bvb x aantal request per ip per seconde/minuut dan deny voor 5 minuten, na bvb 6 keer deny voor een dag of week of ...).

How-to voor de laatste optie: http://www.cyberciti.biz/faq/iptable...-limits-howto/

Niemand die bv een custom lfd check gebruikt.
Ik wil trouwens niet de connecties limiteren maar elke keer er een verkeerde gebruikersnaam & paswoord 5 keer vanaf een zelfde ip adres verkeerd is ingegeven tijdelijk bannen.

Lees je /usr/local/csf/bin/regex.custom.pm even door.
Via dat bestand kun je tot 9 custom logfiles toevoegen aan lfd. Zolang je drupal zijn foute logins ergens logt is dit the way to go.

Na veel zoek werk krijg ik het niet in orde.
Iemand die het tegen betaling wil doen?

Oorspronkelijk geplaatst door rpr

Na veel zoek werk krijg ik het niet in orde.
Iemand die het tegen betaling wil doen?

Je kan met ons contact opnemen : contact@wesupport.md

uurtarief €25,00 / uur

Niet een oplossing tegen betaling, maar als je mod_security regels hier voor in kunt stellen kun je met CSF daar actie op laten ondernemen. Met MODSEC_LOG, LF_MODSEC en LF_MODSEC_PERM ben je er dan waarschijnlijk.