solicitud de DirBuster encontrada en mis archivos de registro

Esta entrada de registro significa que alguien, en algún lugar, intenta conocer los nombres de los directorios en su servidor por el simple pero poco inteligente expediente de probar muchos nombres posibles, y que alguien es lo suficientemente honesto como para que su herramienta lo indique. claramente.

Tales ataques son muy comunes. Siempre que haya un servidor público en Internet, se esperan ataques aparentemente aleatorios. La mayoría de ellos son de botnets automatizados que solo intentan replicarse; intentan direcciones IP aleatorias o nombres de servidores y luego buscan "agujeros conocidos".

No hay ninguna razón para preocuparse por DirBuster a menos que tenga en su servidor un directorio al que puedan acceder usuarios no autenticados, pero preferiría que ese directorio permanezca "oculto", y el directorio nombre es adivinable (es decir, es algo como "secreto" en lugar de "7o8AW4dslEwrSD78C9xaUdns5"). Yo diría que si este es su caso, entonces tiene motivos para preocuparse: no por DirBuster, sino porque está haciendo su seguridad de forma incorrecta y debería volver a la fase de diseño, esta vez con un arquitecto. quien tiene una pista sobre la seguridad.

Desde mi experiencia, DirBuster tiende a ser utilizado más a menudo por un verdadero atacante humano en lugar de un robot que analiza todo lo que puede encontrar. El escaneo 100% automatizado generalmente solo busca un puñado de nombres de directorio para explotar vulnerabilidades específicas, mientras que DirBuster se usa generalmente para tratar de hacer fuerza bruta desde un diccionario grande.

Por lo tanto, esto podría indicar que un atacante ha seleccionado específicamente su sitio. El atacante puede o no estar dedicado y puede o no ser particularmente inteligente.

No estoy seguro si está diciendo que hay muchos registros como ese, o si solo notó la única solicitud. Si solo hay una solicitud, solo está buscando ese directorio, en cuyo caso es casi seguro que es un ataque completamente automatizado. Si ve más de unas pocas solicitudes con ese agente de usuario, continúe leyendo.

Lo primero que debe hacer es investigar la dirección IP y determinar si es un proxy de algún tipo (proxy HTTP, VPN, nodo de salida Tor) o si parece ser una IP residencial. Luego, grep sus registros de acceso para esa IP durante la última semana aproximadamente y ver si se ha realizado alguna visita anterior o posterior a esta exploración. Si se trata de un proxy bastante genérico, las visitas anteriores de esa IP pueden no ser de la misma entidad, así que tenlo en cuenta.

Y lo más importante de todo, realice una auditoría rápida de todo lo que se encuentra en su directorio webroot (normalmente /var/www o /var/www/html en las distribuciones de Linux, no hay idea para IIS). Deshabilite la indexación de directorios y busque cualquier elemento sensible que pueda haber olvidado, como un archivo de copia de seguridad .tar o .sql que contiene código fuente o un volcado de base de datos.

Si las únicas cosas a las que el público puede acceder son las aplicaciones reales que desea que usen los usuarios, entonces realmente no hay nada de qué preocuparse. Aparte de eso, la única preocupación que queda es si el atacante parece ser un humano real, y si es así, si realiza alguna otra acción en un intento de violar su servidor.