Ataque potencial del encabezado del host HTTP por IP maliciosa, ¿qué significa en términos prácticos para mí? ¿Debería Preocuparme?

Navega tus respuestas
2

Estoy preguntando por un error que he recibido varias veces en el último día, fuera de lo teórico. Me pregunto qué puede estar pasando realmente en mi caso.

El error proviene de Sentry, en mi ubuntu / nginx / uwsgi / Django a través de la pila AWS Elastic Beanstalk:

Invalid HTTP_HOST header: '54.149.10.254'. You may need to add u'54.149.10.254' to ALLOWED_HOSTS. Exception while resolving variable 'exception_type' in template 'unknown'.

54.149.10.254 está asociado con scan-15.shadowserver.org . ALLOWED_HOSTS está ahí para evitar los ataques de encabezado de host HTTP.

¿Debería preocuparme? ¿Qué está pasando aquí en términos concretos?

Gracias

    
pregunta std''OrgnlDave 26.01.2017 - 15:07
fuente

1 respuesta

4
  

¿Debería preocuparme?

No particularmente. Estás siendo escaneado por una parte conocida no maliciosa llamada Shadowserver. Están muy abierto sobre su actividades e intenciones.

Ten en cuenta que en Internet vas a ser escaneado. Mucho. Por muchas personas que son francamente maliciosas. Si bien algunos pueden tener preocupaciones legítimas sobre "vigilantes de exploración" como Shadowserver, Shadowserver es ciertamente más benigno que muchos otros tipos de tráfico que puede esperar recibir.

  

¿Qué está pasando aquí en términos concretos?

Se están conectando a su servidor web y enviando una solicitud utilizando un Host: header no válido - uno que no coincide con su sitio real, pero en realidad coincide con su IP. Hay una variedad de formas en que se puede abusar del encabezado del host ; Shadowserver está buscando IPs vulnerables. Dada su declaración de misión, probablemente estén buscando servidores web que puedan ser engañados para enviar o redirigir el tráfico a [la IP que usaron en el encabezado Host:], lo que indicaría que esos servidores web pueden ser objeto de abuso en un ataque de amplificación.

El hecho de que su servidor informe Invalid HTTP_HOST header me lleva a creer que rechaza correctamente las conexiones que no contienen un encabezado Host: válido para su sitio. Buen trabajo.

    
respondido por el gowenfawr 26.01.2017 - 15:42
fuente

Lea otras preguntas en las etiquetas

¿Hacer clic en "no" en "¿Desea permitir que el siguiente programa ... realice cambios en esta computadora" significa que estoy seguro? ¿Cómo proteger la autenticación REST JWT para que no acepte llamadas desde el navegador?