¿Cómo encuentran los atacantes las direcciones IP de los servidores implementados recientemente?

Navega tus respuestas
29

Hace aproximadamente dos meses, implementé un servidor Ubuntu con el propósito principal de servir una aplicación web. Sin embargo, todavía estoy desarrollando la aplicación y solo le di la IP del servidor a mi compañero de trabajo y a algunos amigos para que lo probaran.

Ayer revisé los registros de fail2ban y noté muchos intentos de fuerza bruta de SSH en China, Francia, etc. que databan de antes de la IP. También verifiqué los registros de acceso de mi servidor y noté algunos intentos maliciosos en las URL de las mismas direcciones IP, tratando de forzar la seguridad de SSH. Un ejemplo de una solicitud que hicieron es myip / otherip / file.php . No estoy seguro de cómo interpretar esto. Rastreé la IP de ese servidor y está en la misma compañía de alojamiento en la que estoy.

Pregunta : ¿Cómo se enteraron de la IP del servidor incluso antes de que entregué la aplicación o la entregué?

Mi suposición : supongo que es un bot que sigue intentando diferentes IP de algún patrón que conduce a servidores de la misma empresa de alojamiento. ¿Es eso una suposición correcta o existen otras posibilidades?

    
pregunta HassenPy 01.12.2015 - 16:38
fuente

5 respuestas

47

Es probable que tu suposición sea correcta.

Los grandes servidores host tienen rangos de IP continuos desde los cuales asignan IP a sus clientes. Los hosters de bajo presupuesto son utilizados frecuentemente por aficionados que no saben lo que están haciendo, por lo que es probable que usen contraseñas fáciles de adivinar o que configuren aplicaciones web inseguras. Esto hace que estos rangos de IP sean objetivos valiosos para los sombreros negros.

Cuando note tales ataques dentro de la red de hosters, debe informarlos al proveedor de alojamiento, ya que es muy probable que se trate de un incumplimiento de los términos de uso ... o de un servidor de otros clientes en los que ya se encontraban exitoso.

    
respondido por el Philipp 01.12.2015 - 16:48
fuente
27

Todos los servidores que usan direcciones IPv4 obtienen un cierto nivel de ruido de fondo en forma de escaneo automático e intentos de fuerza bruta. Esto se debe básicamente a que es fácil escanear todo el espacio de direcciones, toma menos de una hora y puede dar como resultado sistemas que no han sido completamente parcheado o configurado todavía.

Como resultado, esperaría que cualquier sistema viera mucho de este tipo de tráfico. Por eso es importante ordenar su seguridad antes de abrir su servidor a Internet. Mantenga su firewall activado, bloqueando el tráfico entrante mientras lo configura. Restrinja el acceso a las direcciones IP conocidas para realizar pruebas. Una vez que esté seguro de que es seguro, puede abrir el firewall al resto de Internet para conectarse.

Si tiene un servidor con un conjunto de búsqueda de DNS inverso, una vez que alguien tenga la dirección IP, puede ver a qué nombre de dominio cree que pertenece su sistema, por lo tanto, la URL también lo intenta.

Básicamente, si se ha asegurado de que su sistema sea seguro, no se preocupe, asegúrese de tener contraseñas decentes para SSH (o, mejor aún, inicio de sesión basado en claves), y de que cualquier otro servicio esté bloqueado. correctamente. Si no lo has hecho, o crees que entraron, trátalo como un servidor comprometido: ordena tu firewall (probablemente con tu proveedor de alojamiento) y luego vuelve a empezar.

    
respondido por el Matthew 01.12.2015 - 16:50
fuente
14

Tu IP es como un número de teléfono. No es necesario incluirlo en ninguna parte para poder usarlo. De hecho, ya está incluido en las tablas de enrutamiento que forman parte del protocolo BGP, el protocolo que los ISP utilizan para crear el 'internet'.

Se sabe que los chinos (entre otros) intentan cualquier dirección IP existente para ver si un servicio está escuchando en ella. Su servidor respondió en una de sus sondas y luego intentan infectarlo automáticamente. (básicamente lo que se conoce como un ataque con script)

La URL de su sitio web es igual que enumerar su nombre en una guía telefónica, con el "número" al que se puede contactar. Los chinos también lo utilizarán tan pronto como lo publiques, pero no los limita a intentar ingresar antes.

    
respondido por el LvB 01.12.2015 - 16:44
fuente
3

En Estados Unidos, arin.net es el repositorio público de bloques de direcciones IP y a quién pertenecen. Esta información, como ejemplo, ayuda a los administradores de sistemas que tratan con spam, enrutamiento u otros problemas con personas fuera de sus redes. Pero también ayuda a los hackers. Un pirata informático en busca de ganancias financieras probablemente dejaría a clientes finales delicados como el Departamento de Justicia, la CIA o los militares, y el directorio arin.net ayuda a excluirlos. Tal pirata informático haría mejor investigando los rangos publicados de GoDaddy, Amazon, DigitalOcean, Linode y Rackspace.

Cada continente tiene su propio directorio similar a arin.net.

También puede contar con visitantes no deseados y prepararse en consecuencia.

    
respondido por el Xavier J 02.12.2015 - 22:41
fuente
2

Esto es realmente dos preguntas.

1.) ¿Cómo se enteraron de su IP antes de siquiera configurar el servidor?

Como otras personas han señalado, esto probablemente fue solo un escaneo general y no algo específicamente dirigido a usted. Existen herramientas como ZMAP que pueden escanear todo el Internet IPv4 en cuestión de minutos.

enlace

Hay muchas personas que recopilan información sobre Internet en su totalidad, algunas con fines comerciales o de investigación, pero también muchos actores malos que hacen esto. Esto se considera normal para Internet y no es raro que un tercero realice su primer escaneo dentro de los 2 a 4 minutos de haber conectado cualquier computadora a Internet.

Nota: mire cuidadosamente los registros en su servidor y también encontrará personas que usan un método de ataque. Estos son malos actores que tienen una manera de irrumpir en ciertos servidores con una configuración determinada en busca de sistemas vulnerables. Esto sucede todo el tiempo.

2.) ¿Cómo encuentran los atacantes las direcciones IP de los servidores recientemente implementados?

Hay varias maneras de hacer esto, las más comunes son las siguientes:

Use una herramienta de ataque de diccionario de fuerza bruta para encontrar todos los hosts enumerados en un DNS externo de la organización (o DNS interno mal configurado). Una herramienta que hace un gran trabajo de esto es THC Hydra. enlace

Si se trata de una organización grande, puede consultar el número AS de las empresas y buscar las direcciones IP asociadas (Prefijo de IP) para sus pares de BGP en cualquier número de lentes con enrutador

enlace

Tenga en cuenta que esto solo le mostrará sus principales rangos de IP y no los servidores que administran, que pueden estar ubicados en un proveedor de nube remota

Otro método consiste en descargar una lista completa del DNS inverso para todas las direcciones IP en el espacio de direcciones IPv4.

enlace

Esto tampoco lo encontrará todo, pero encontrará muchos sitios alojados en varios proveedores de la nube y puede ayudar a encontrar otros rangos de red o compañías de terceros que trabajan con una organización determinada

Finalmente. Simplemente utilizando los motores de búsqueda. Los motores de búsqueda que descubren todo el HTML y el texto en los sitios web son una GRAN manera de encontrar los servidores relacionados que una compañía está configurando, incluso si no hay una entrada de DNS correspondiente. Como evaluador de penetración, encuentro rutinariamente copias de sitios web o sistemas de gestión de contenido alojados por equipos de desarrollo web que puedo usar para acceder al sitio web principal de la empresa o, en algunos casos, para acceder a los navegadores web de personas que trabajan en una organización específica.

Además, algunos sitios web harán referencia a otros servidores que posee una empresa al mostrar la URL al otro servidor. Así que desechar todo el html del sitio web disponible públicamente y luego buscar IP y nombres de dominio también puede revelar más información.

Del mismo modo, las aplicaciones de aplicaciones móviles y de software personalizadas también filtran este tipo de información.

En el proceso de reconocimiento para las pruebas de penetración, es típico verificar todo lo anterior para descubrir la superficie de ataque adicional. Los malos actores pueden hacer lo mismo y los malos actores que están bien organizados hacen esto todo el tiempo utilizando herramientas automatizadas.

    
respondido por el Trey Blalock 07.12.2015 - 20:01
fuente

Lea otras preguntas en las etiquetas

Contraseña con patrón, basada en el nombre del sitio [duplicado] Compartir wifi en una empresa - ¿Una mala política?