جلوگیری از حملات بروت فورس توسط مودسکیوریتی

ruin3r

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
10/5/15
ارسال ها
146
امتیاز
6
سلام.
بعد از مدتی اومدم تا یه پست مفید برای کسانی که میزبانی سرور هایی که هاست اشتراکی دارند انتشار بدم.
همانطور که مستحظر هستید بر روی هاست های اشتراکی 99% سایتهای میزبانی شده توسط سیستم هایی مانند وردپرس و جوملا هستند و حملات بروت فورس بر روی اونها زیاد هست.
مستلزمه جلوگیری از این حملات نصب mod_security بر روی سرور هست.
mod_security فایروالی است برای سرور های لینوکسی که بر روی لایه 7 یعنی web application عملکرد دارد و نحوه کار اون به این صورت است که با توجه به rule هایی که در اون قرار میگیره از حملات بر روی لایه 7 جلوگیری می کنه.
حالا با توجه به موارد بالا شما می توایند برای جلوگیری از این حملات بر روی سیستم هایی چون وردپرس و جوملا از rule هایی که در زیر قرار میدهم استفاده کنید.
برای ثبت این رول ها در سی پنل به مسیر زیر بروید:
وارد whm شود > وارد بخش Mod Security Tools شوید > Edit List رو بزنید و رول های زیر رو وارد کنید:

کد:
#Block xmlrpc with no referring URL


SecRule REQUEST_METHOD "POST"  "deny,status:401,id:5000140,chain,msg:'xmlrpc request blocked, no referer'"
SecRule &HTTP_REFERER "@eq 0"


#Block WP logins with no referring URL


SecRule REQUEST_METHOD "POST"  "deny,status:401,id:5000130,chain,msg:'wp-login request blocked, no referer'"
SecRule &HTTP_REFERER "@eq 0"


#Wordpress Brute Force detection
SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000134


# Setup brute force detection.
# React if block flag has been set.
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000135,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"

# Setup Tracking.  On a successful login, a 302 redirect is performed, a 200 indicates login failed.
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000136"

SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000137"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"


#Wordpress Brute Force detection
SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000144


# Setup brute force detection.
# React if block flag has been set.
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000145,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"

# Setup Tracking.  On a successful login, a 302 redirect is performed, a 200 indicates login failed.
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000146"

SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000147"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"


# Block Joomla logins with no referring URL
SecRule REQUEST_URI "/administrator/index.php" "deny,status:411,id:5000224,chain,msg:'Joomla login request blocked, no referer'"
SecRule REQUEST_METHOD "POST" "chain"
SecRule &HTTP_REFERER "@eq 0"
امیدوارم آموزش خوبی باشه.

شاهین سالک توتونچی
 

zxczxczxc

عضو تایید شده
کاربر انجمن
عضویت
16/9/16
ارسال ها
3
امتیاز
1
سن
33
به به حاج شاهین ... تو آسمونا دنبالت میگشتیم :-?
اولا مستحضر
ثانیا برای دایرکت ادمین رو هم اگه میشه آموزش بدید ؟
 

ruin3r

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
10/5/15
ارسال ها
146
امتیاز
6
به به حاج شاهین ... تو آسمونا دنبالت میگشتیم :-?
اولا مستحضر
ثانیا برای دایرکت ادمین رو هم اگه میشه آموزش بدید ؟

سلام.
معظرت میخوام ولی بنده شمارو به جا نیاوردم.
برای دایرکت ادمین هم به همین صورت هم از طریق ماژولش میتونی رولاشو اضافه کنی هم تو فایل های رول خود مد سکیوریتی.
 

amin

عضو تایید شده
کاربر انجمن
عضویت
29/9/15
ارسال ها
43
امتیاز
1
سلام.
معظرت میخوام ولی بنده شمارو به جا نیاوردم.
برای دایرکت ادمین هم به همین صورت هم از طریق ماژولش میتونی رولاشو اضافه کنی هم تو فایل های رول خود مد سکیوریتی.
با تشکر از شما
میشه دقیق تر بفرمایید توی دایرکت ادمین باید چه کار کنیم؟
 

vahid

عضو تایید شده
کاربر انجمن
عضویت
4/7/16
ارسال ها
7
امتیاز
1
سن
34
سلام.
دوتا رول زیر همه ip ها رو بلاک کرد

# React if block flag has been set.
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000135,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"

SecRule REQUEST_METHOD "POST" "deny,status:401,id:5000140,chain,msg:'xmlrpc request blocked, no referer'"
SecRule &HTTP_REFERER "@eq 0"


مثلا 127.0.0.1:80 را بلاک کرده
 

vahid

عضو تایید شده
کاربر انجمن
عضویت
4/7/16
ارسال ها
7
امتیاز
1
سن
34
ru.jpg
به اینصورت ثبت شده
 
بالا