Eu administro vários servidores de hospedagem e recentemente sofri muitos ataques de força bruta contra sites baseados em joomla. Os invasores parecem tentar uma força bruta contra administrator/index.phpa página.
Eu normalmente bloqueio IPs quando eles tentam forçar logins do Wordpress com o seguinte conjunto de regras:
SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000134
<Locationmatch "/wp-login.php">
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000135,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000136"
SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000137"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"
</Locationmatch>
Mas não consigo encontrar uma regra semelhante para o Joomla!, pois o status da resposta é "303 consulte outro", tanto com senha válida quanto com senha inválida.
Qualquer ajuda? Desde já, obrigado!
Responder1
Então, aqui está minha resposta.
Ao observar os cabeçalhos de retorno percebi que o Joomla! backend retorna alguns cabeçalhos HTTP quando o login está correto e não os retorna quando o login é inválido.
por exemplo, oP3Pheader é retornado após um login bem-sucedido, então procuro apenas que seu comprimento seja > 0:
SecAction phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR},id:5000144
<Locationmatch "/administrator/index.php">
SecRule ip:bf_block "@gt 0" "deny,status:401,log,id:5000145,msg:'ip address blocked for 5 minutes, more than 10 login attempts in 3 minutes.'"
SecRule RESPONSE_HEADERS:P3P "streq 0" "phase:5,t:none,nolog,pass,setvar:ip.bf_counter=0,id:5000146"
SecRule RESPONSE_HEADERS:P3P "!streq 0" "phase:5,chain,t:none,nolog,pass,setvar:ip.bf_counter=+1,deprecatevar:ip.bf_counter=1/180,id:5000147"
SecRule ip:bf_counter "@gt 10" "t:none,setvar:ip.bf_block=1,expirevar:ip.bf_block=300,setvar:ip.bf_counter=0"
</locationmatch>
Responder2
O problema com a resposta aceita é que ela não leva em consideração quando ocorre uma atualização da página de login. Portanto, quando a pessoa atualizar a página de login, ela irá: 1) zerar o contador (o que é ruim) ou 2) contar a atualização como uma falha no login (o que também é ruim).
Acabamos de criar uma regra para lidar com ataques de força bruta no Joomla, que é baseada no valor da postagem "com_login". Se o valor estiver no valor post, isso significa que houve falha no login; caso contrário, o login foi bem-sucedido. A regra pode ser encontradaaqui.