La URL extraña que aparece en mi flujo de pubsub, ¿debería preocuparme?

2

Antecedentes: Ayer comencé a trabajar en un sencillo panel de métricas. Tengo un VBScript en mi red interna que consulta una base de datos a través de una VPN de nuestro proveedor. Luego hago una simple publicación HTTP a un servidor node.js escuchando en el puerto 8000. No tengo seguridad. Todo lo que envía mi script es una URL formateada como http://myserver.com:8000/name1,value2 . Luego, el servidor los toma y crea una nueva serie temporal basada en el primer valor, si no existe, y traza un punto basado en el segundo valor. Apliqué esto a mi servidor público ayer, alrededor de las 2:00 PM.

Esta mañana, cuando entré, había una nueva serie de tiempo con la siguiente URL como nombre: http://testp2.czar.bielawa.pl/testproxy.php

Obviamente, necesito hacer algún tipo de validación de que los datos provienen de mi red, pero ¿debería preocuparme por esto en general? ¿Qué otros pasos debo tomar? El servidor node.js solo analiza la URL. Ni siquiera intenta procesar una carga útil. Estos datos no son confidenciales, solo son números de transacciones para nuestros clientes y los nombres de los clientes (que están disponibles al público).

    
pregunta Scott Beeson 01.10.2015 - 15:04
fuente

2 respuestas

3

La URL que solicitaron lo explica todo. Su servidor Node.js está abierto a la Internet pública, escucha en un puerto comúnmente utilizado por los proxies HTTP, y un servicio que escanea la red en busca de proxies se topó con él y decidió probarlo al solicitar una URL y ver si su Node.js devolvería el contenido de esa URL (si lo hace, entonces es un proxy abierto y se incluirá como tal en su base de datos).

Este intento en particular no parece malicioso. Claro, si descubren que está ejecutando un proxy abierto, es muy probable que lo utilicen con fines malintencionados (correo no deseado, etc.), pero su análisis simplemente solicita una URL y no intenta explotar un error o DoS en su servidor. Eso no significa que otra persona no intente atacar y poner en peligro su servidor, DoS su aplicación llenando su base de datos con datos de basura o agotando el ancho de banda del servidor para que las solicitudes HTTP legítimas ya no lo alcancen.

Ahora, aún debe pensar en la seguridad y si realmente necesita que se pueda acceder a este servidor Node desde toda Internet ... dice que los datos que le interesan provienen de su red interna, entonces ¿por qué no los pone? ¿El servidor Node en esa misma red? De esa manera, evitará la pérdida innecesaria de datos a Internet y el firewall de la red de su empresa lo protegerá de los intentos de escaneo, ya que no hay una razón válida para que se pueda acceder a ese servidor Node desde Internet y ya no es vulnerable a los ataques DoS desde el Internet completo.

Si no es posible colocar el servidor Node en la red privada, considere la posibilidad de solicitar certificados de cliente TLS para autenticar la fuente de datos legítima, de modo que un cliente tenga un certificado válido antes de poder establecer el túnel TLS y emitir HTTP peticiones. Además, asegúrese de seguir las mejores prácticas de seguridad, como firewall, SSH (solo autenticación de clave, y cambie el puerto para evitar que los escáneres llenen sus registros), etc. para el propio servidor. Su aplicación Node puede ser la aplicación más segura del mundo, pero no servirá de nada si alguien puede convertirse en usuario de root mediante SSH'ing con una contraseña forzada con fuerza bruta o al explotar alguna otra aplicación que se ejecuta como root.

    
respondido por el André Borie 03.10.2015 - 08:38
fuente
0

Lo más probable es que su nuevo servidor haya recibido una IP que una vez perteneció a ese host, que tiene otro sistema (watchdog, o algún cliente) que recuerda la antigua IP que una vez coincidió con este registro DNS.

Mi opinión es que testp2.czar.bielawa.pl no es el nombre de host de su servidor, ya que es accesible y muestra su dirección IP como respuesta. Esto refuerza la teoría de que su registro DNS se actualizó con una nueva IP.

Dado que sus registros muestran testp2.czar.bielawa.pl como host, significa que una máquina usó este host en su URL, pero se resolvió a su IP. Si realmente fuera algo malicioso, verías tu dirección IP en lugar de un nombre de host o tu nombre de host real.

Es bastante común con las IP elásticas de AWS, por ejemplo.

    
respondido por el Kof 02.10.2015 - 20:17
fuente

Lea otras preguntas en las etiquetas