Hemos estado registrando solicitudes GET en nuestro dominio a lo siguiente:
XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFHHGG
Esto no tiene significado en nuestro sitio. Una búsqueda en la web no reveló información, sino algunos otros lugares que registraron solicitudes similares.
¿Es este un tipo de ataque conocido? ¿A qué podría estar dirigido?
Esta es una solicitud maliciosa, pero no está intentando explotar una vulnerabilidad. Está intentando generar una página 404, para determinar qué tipo de servidor web o CMS está ejecutando, identificando tokens en la fuente de la página. Las páginas de error a menudo especifican su nombre y versión de CMS, o el nombre y la versión del servidor web, por lo que es un objetivo fácil de recon.
El mejor consejo que puedo darle es que mantenga todo parcheado y asegúrese de que las reglas de su firewall estén configuradas correctamente. Es probable que los objetivos principales sean su CMS y su servidor web, pero su sistema operativo también es importante para parches.
Si tiene algunas IP que lo hacen constantemente y está seguro de que no son clientes válidos, no dude en bloquearlas durante algunas semanas para ver si siguen siendo persistentes.
Esto no es una solicitud maliciosa. En realidad, es una solicitud del logotipo png de un dispositivo Fortinet. Este logotipo se muestra en la página de autenticación de los cortafuegos de Fortinet y otros dispositivos de red de Fortinet.
Dicho esto, si estás viendo muchas solicitudes, podría ser que un atacante esté intentando forzar la autenticación de forma bruta.
Solicitud de ejemplo:
Request URL:https://192.168.1.1:1003/XX/YY/ZZ/CI/MGPGHGPGPFGGHHPFBGFHEHIG
Request Method:GET
Status Code:200 OK
Remote Address:192.168.1.1:1003
Response Headers
view source
Connection:Close
Content-Length:1622
Content-Type:image/png
Request Headers
view source
Accept:image/webp,image/*,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch, br
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
DNT:1
Host:192.168.1.1:1003
Referer:https://192.168.1.1:1003/fgtauth?000a089886bb41a2
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFBGAHAH
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFHHGG
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGOGFGEH
Hay formas más sencillas y más discretas de generar un error 404 para buscar información del servidor. Este patrón de URL es un artefacto de Fortigate / Fortinet y el entorno moderno de redes en la nube.
La página "Deja de ver pornografía en el trabajo" de Fortinet hace algunas llamadas a las rutas anteriores en url.fortinet.net:8008 para descargar activos estáticos.
Su sitio se encuentra actualmente alojado en una IP que una vez estuvo dentro del alcance del grupo de IP de Fortinet. Ya no lo es, pero algunos IP codificados, caché de DNS o rastreadores en algún lugar están teniendo dificultades para hacer frente a este hecho y se niegan a dejar de hacerlo, por lo que está viendo que el tráfico se redirige a su sitio en lugar de enviarlo a Fortinet. / p>
Verá un comportamiento similar cuando observe los registros HTTP de cualquier servicio web que inicie en una instancia de computación en la nube pública: gran cantidad de tráfico destinado al inquilino anterior. Esta no es una solicitud malintencionada ni es indicativa de un ataque y es segura ignorarla.
Para una seguridad simple pero efectiva, asegúrese de que su servidor web esté revisando los encabezados del host; solo debe aceptar el tráfico que hace referencia a su dominio real. Cualquier persona que intente ir a http://36.10.52.4/index.html no debe recibir servicios, solo debe recibirlos si solicita http://yoursite.com/index.html .
Haciendo las cosas de esta manera, también puede configurar su servidor web para devolver códigos HTTP personalizados (desaparecidos, movidos permanentemente, etc.) a cualquier persona que solicite recursos que pertenecieron a antiguos inquilinos.
Lea otras preguntas en las etiquetas http