ایمن‌سازی با Brute Force Monitor در DirectAdmin

مقدمه

یکی از روش‌های رایج نفوذ به سرورها، حملات Brute Force یا Dictionary Attack است. در این روش مهاجم با استفاده از اسکریپت‌های خودکار، تلاش می‌کند تا با امتحان کردن هزاران یا حتی میلیون‌ها ترکیب احتمالی از نام کاربری و رمز عبور، وارد حساب شود. این فرآیند می‌تواند زمان‌بر باشد، اما در نهایت اگر هیچ مکانیزم دفاعی وجود نداشته باشد، مهاجم موفق به یافتن رمز صحیح شده و وارد سیستم می‌شود.

برای جلوگیری از چنین حملاتی، DirectAdmin قابلیتی به نام Brute Force Monitor (BFM) ارائه کرده است که وظیفه‌ی شناسایی و مقابله با این نوع حملات را بر عهده دارد.

تاریخچه Brute Force Monitor در DirectAdmin

قابلیت اولیه‌ی BFM در نسخه‌ی DA 1.25.5 معرفی شد و تنها برای شناسایی و مسدود کردن حملات brute force روی خود DirectAdmin (پورت ۲۲۲۲) به‌کار می‌رفت.
لینک معرفی اولیه قابلیت

اما در نسخه‌های بعدی، این ابزار به شکل چشمگیری توسعه یافت و امکانات گسترده‌ای به آن اضافه شد. از جمله:

• یکپارچگی کامل با فایروال CSF برای مسدودسازی IPهای مهاجم (از نسخه 1.61.0 به بعد).
• شناسایی حملات روی وردپرس (wp-login.php و xmlrpc.php).
• بررسی لاگ‌های سرویس‌های حیاتی از جمله:
  • Apache
  • Dovecot
  • Exim
  • ProFTPD / Pure-FTPd
  • SSHd
  • Roundcube
  • SquirrelMail
  • phpMyAdmin
• امکان پاک‌سازی خودکار لاگ‌ها برای جلوگیری از حجیم شدن بیش‌ازحد.
• ارسال اعلان حملات شناسایی‌شده از طریق:
  • سیستم پیام داخلی DirectAdmin
  • ایمیل (با امکان تعیین آدرس دلخواه).
• پشتیبانی از لیست سفید و لیست سیاه IPها.
• قابلیت استفاده از Hook Scripts برای شخصی‌سازی عملکرد.

فعال‌سازی و پیکربندی Brute Force Monitor با قابلیت مسدودسازی IP

استفاده از فایروال CSF

برای عملکرد مؤثر BFM، توصیه می‌شود از فایروالی مانند CSF (ConfigServer Security & Firewall) استفاده کنید. DirectAdmin به‌طور مستقیم با CSF یکپارچه می‌شود و علاوه بر آن، CSF دارای بخشی به نام Login Failure Daemon (LFD) است که یک لایه حفاظتی اضافه در برابر حملات brute force ایجاد می‌کند.

نصب CSF و BFM هنگام نصب تازه DirectAdmin

اگر هنگام نصب DirectAdmin گزینه‌ای برای غیرفعال‌سازی CSF انتخاب نشود، هر دو سرویس CSF و BFM به‌طور خودکار نصب و پیکربندی می‌شوند و از همان ابتدا همزمان کار می‌کنند.

فعال‌سازی CSF روی سرورهای موجود

اگر قبلاً DirectAdmin نصب کرده‌اید (نسخه 1.61.0 یا جدیدتر)، می‌توانید CSF را با دستورهای زیر فعال کنید:

da build set csf yes
da build csf

سپس از طریق SSH به‌عنوان کاربر root وارد شوید و بررسی کنید که امکان اتصال مجدد وجود دارد. پس از اطمینان، مقدار TESTING="0" را در فایل تنظیمات CSF قرار دهید:

nano /etc/csf/csf.conf
csf -ra

هشدار: همیشه قبل از قطع اتصال فعلی، مطمئن شوید که امکان ورود مجدد از طریق SSH وجود دارد تا در صورت اشتباه در تنظیمات، دسترسی‌تان به سرور از دست نرود.

بررسی نسخه DirectAdmin

DirectAdmin از نسخه 1.61.0 به بعد، به‌طور کامل با CSF ادغام شده است. در این نسخه نیازی به Hook Scripts قدیمی نیست. برای بررسی نسخه، دستور زیر را اجرا کنید:

/usr/local/directadmin/directadmin version

در صورت استفاده از نسخه 1.61.0 یا بالاتر، فایل‌ها و اسکریپت‌های قدیمی زیر را حذف کنید:

• block_ip.sh
• brute_force_notice_ip.sh
• show_blocked_ips.sh
• unblock_ip.sh
• blocked_ips.txt
• exempt_ips.txt

فعال‌سازی و پیکربندی Brute Force Monitor

برای فعال‌سازی BFM مسیر زیر را دنبال کنید:

Admin Level → Admin Settings → Security Settings → Blacklist IPs for excessive login attempts

همچنین می‌توانید مستقیماً از فایل directadmin.conf تنظیمات مربوطه را اعمال کنید.

مهم‌ترین تنظیمات BFM و مقادیر آن‌ها در directadmin.conf

• فعال‌سازی کلی BFM
  bruteforce=1
• حداکثر تعداد تلاش ناموفق برای ورود به DirectAdmin (مثلاً 20 بار)
  brutecount=20
• حداکثر تعداد دسترسی‌های غیرمجاز قبل از بلاک شدن (مثلاً 100 بار)
  brute_dos_count=100
• جلوگیری از بلاک شدن 127.0.0.1
  exempt_local_block=1
• مدت زمان ریست‌شدن شمارش تلاش‌ها (مثلاً 1200 ثانیه = 20 دقیقه)
  brute_force_time_limit=1200
• مدت زمان باقی‌ماندن IP در بلاک‌لیست (0 = هرگز حذف نشود)
  clear_blacklist_ip_time=0
• فعال‌سازی اسکن لاگ سرویس‌ها (مانند dovecot, exim, sshd)
  brute_force_log_scanner=1
• تعداد تلاش‌های ناموفق از یک IP قبل از ارسال اعلان به مدیران (مثلاً 100 بار)
  ip_brutecount=100
• مدت زمان مسدود بودن یک IP (مثلاً 86400 دقیقه = 60 روز)
  unblock_brute_ip_time=86400

سایر امکانات و مسیرهای لاگ‌ها در BFM

BFM لاگ‌های متعددی را بررسی می‌کند، از جمله:

(ایمیل)

/var/log/exim/mainlog/var/log/maillog (Dovecot)

(ورودهای سیستم)

/var/log/secure/var/www/html/phpMyAdmin/log/auth.log (phpMyAdmin)

/var/www/html/roundcube/logs/errors (Roundcube)

(Apache, وردپرس)

/var/log/httpd/domains/*.log

هر یک از این فایل‌ها توسط BFM اسکن می‌شوند تا هرگونه حمله brute force شناسایی و بلاک شود.

مدیریت لیست‌ها و فایل‌های مرتبط با BFM

BFM فایل‌های خاصی در مسیر /usr/local/directadmin/data/admin/ دارد:

• ip_whitelist → لیست سفید IPها
• ip_blacklist → لیست سیاه IPها
• brute_skip.list → لیست IPهایی که باید در تمام سرویس‌ها نادیده گرفته شوند
• brute_ip.data → ذخیره IPهای بلاک‌شده
• brute_user.data → ذخیره نام‌کاربری‌های هدف حمله
• brute_log_entries.list → نمایش حملات در رابط گرافیکی BFM

شاهده گزارش‌ها و بلاک‌ها در BFM

در DirectAdmin به مسیر زیر بروید:

Admin Level → Brute Force Monitor

بخش‌های اصلی رابط BFM عبارت‌اند از:

• Failed Logins → لیست تلاش‌های ناموفق
• IP List → IPهای بلاک‌شده
• Username List → نام کاربری‌های هدف حمله
• Skip List → لیست سفید (Skip)
• Block List → اضافه کردن دستی IP برای بلاک شدن

جمع‌بندی

Brute Force Monitor یکی از مهم‌ترین ابزارهای امنیتی در DirectAdmin است که در کنار فایروال CSF می‌تواند حملات brute force را به شکل مؤثر شناسایی و مسدود کند.
با پیکربندی دقیق BFM می‌توانید:

• از بلاک شدن اشتباهی خودتان جلوگیری کنید.
• مصرف منابع سرور را مدیریت کنید.
• گزارش‌های حملات را به‌صورت شفاف مشاهده کنید.
• سیاست‌های امنیتی سفارشی (مانند بلاک کشورها یا دامنه‌ها) اعمال کنید.