3

Drupalサイトで奇妙な動作に気づきました。間違った対策を講じるのに時間を無駄にしないように、行動を起こす前に見ているデータを理解するのが好きですが、解釈するためのセキュリティ知識が不足しています。

1つのアカウントで、プロファイルの編集ページへのアクセスの試行、ログイン(数日前に、アカウントに250のアクティブなセッションがあることに気付いた)、膨大な数のパスワード要求など、多くの奇妙な繰り返し要求が行われました。アカウントには管理者権限がなく、誰でもアカウントに登録できます。

編集:Drupalのバージョンは6.17です。

何が起こっているかについての私の最善の推測は次のとおりです。

(1)Joe Evil-doerは、DOS攻撃として複数のパスワードリセット要求を使用しています(機能しています:<)

(2)Joe Evil-doerは、繰り返し要求されたパスワードの辞書をどうにかして作成しようとしています(これが機能する方法はわかりません)。

(3)私は、多数のトランザクションが失敗し、何度も再コミットを試みた犠牲者です。

他のシナリオはありますか?これは、一般的なDrupalエクスプロイトと一致しますか?

これがデータです。データベースのaccesslogテーブルで次のクエリを実行しました。

select count(*), title, path from accesslog where uid = 999 group by title, path;

以下の結果(ユーザーIDとページ名がクリーンアップされました、ofc)。各列のCount(*)は、各操作で受信した要求の数を示す必要があります。

+----------+-------------------------+------------------------------------------+
| count(*) | title                   | path                                     |
+----------+-------------------------+------------------------------------------+
|       16 |                         | home                                     | 
|     1334 | Access denied           | user/999/edit                            | 
|      184 | Series                  | events/series                            | 
|        1 | Home                    | user/register                            | 
|        1 | Reset password          | user/reset/999/123124/a2340a1c1123/login | 
|        1 | username                | user/999                                 |   
|        5 | username                | user/999/edit                            | 
|        1 | username                | user/me                                  | 
|      904 | User account            | user/login                               | 
|    11252 | User account            | user/password                            | 
|      288 | User account            | user/register                            | 
|        1 | Validate e-mail address | user/validate/999/1283452346/a0f123459e  | 
+----------+-------------------------+------------------------------------------+
4

2 に答える 2

2

ほとんどの場合、それはある種の1ではありません。パスワードのリセットは、電子メールを持っていて、一度だけ行う必要がある場合にのみ役立ちます。3つも可能ではないと思います。

修正はとても簡単です。一部のサイトでは、デフォルトでこれを行います。hook_menu_alterを使用すると、パスワードリセットのメニュー項目を削除できます。すべてのユーザーがパスワードをリセットできなくなります。

他のオプションは、フォームにCAPTCHAを含めることです。これは、ボットがこれを実行している可能性が高いためです。既存のモジュールでかなり簡単なはずです。

于 2010-10-04T20:50:09.843 に答える
1

ログインがスケジュールされているかどうかを確認できます。ボットの場合、ログインは24時間ごとに1秒ごとに行われる可能性があります。サイトを管理しているセキュリティスペシャリストは、攻撃を回避するためにアカウントを削除する可能性があります。それがecommサイトである場合は、アカウントにセキュリティのフラグが設定されていることを所有者に通知してください。新しいアカウントを作成するように依頼します。既存のアカウントをロックしてから削除します。所有者に信用調査を依頼します。

于 2012-02-21T11:22:52.140 に答える