Acceso no autorizado al área de administración de una aplicación de Rails, desde la IP de la compañía

3

Como compañía, tenemos una aplicación de rieles con un panel de administración que utiliza una gema de administración activa. Si el usuario tiene el rol de administrador, aparecerá un enlace a la página de administración. Ayer, alguien ingresó al panel de administración y cambió el estado de un proyecto, además de dejar un mensaje. Fui al archivo de registro de acceso de Apache y miré la hora en que se realizó la solicitud. Curiosamente, la IP que hizo la solicitud fue la IP de la empresa. ¿Esto significa que es alguien dentro de la empresa?

Como información adicional, si alguien coloca la url del panel de administración directamente en el navegador, no se le permite ingresar si no ha iniciado sesión como usuario que tiene la función de administrador.

¿Cuáles son los posibles casos?

    
pregunta kiriakosv 24.11.2016 - 13:05
fuente

1 respuesta

2

Con respecto a la dirección IP registrada en su registro de apache, hay varias posibilidades que no necesariamente indican que provenga de algún lugar dentro de su red.

En primer lugar, si un atacante externo tiene el control completo de su servidor, es posible que puedan falsificar las entradas del registro. En segundo lugar, si un atacante tiene el control de una PC local, podría usarlo para que parezca un ataque interno. Finalmente, ¿cómo sabes quién estaba en la PC local en ese momento?

La atribución real es difícil, y como resultado necesitarás más evidencia para determinar lo que realmente sucedió. Si tiene otros registros de tráfico de red que están sincronizados en el tiempo, podría comenzar a crear una imagen de lo que estaba sucediendo en el momento del ataque.

    
respondido por el Colin Cassidy 24.11.2016 - 14:14
fuente

Lea otras preguntas en las etiquetas