404s con / como y / no definido

2

Recientemente fuimos pirateados y, después de limpiar el virus de nuestra máquina, expulsamos el sitio para pasar a través de cloudflare. Aunque he notado que los intentos de escaneo en el sitio han disminuido, por alguna razón obtenemos cientos de 404 en oursite.com/undefined o oursite.com/like

Cuando hay un 404, recibo un correo electrónico con información de tipo de navegador / dirección IP / cookie, etc. y siempre es diferente, excepto que las IP están en la misma subred o en la misma.

Cualquier idea sobre lo que están tratando de lograr. Por ahora he creado un directorio físico llamado indefinido, pero todavía un poco preocupado

    
pregunta Alessandro 24.03.2013 - 05:25
fuente

1 respuesta

2

Los atacantes deben identificar qué aplicaciones están alojadas en su dominio. Pueden identificarlos al buscar archivos comunes y estructuras de directorio en su plataforma. Por ejemplo, si ejecuta Wordpress, un atacante puede buscar /wp-admin , y si devuelve un 200, saben que está ejecutando Wordpress.

Una vez que sepan qué marco de trabajo o aplicación está ejecutando, comenzarán a navegar a través de las vulnerabilidades conocidas, o incluso un día, hasta que puedan comprometer su plataforma.

Ahora, ten eso en cuenta porque CloudFlare simplemente sirve como ReverseProxy para ayudarte a protegerte. Esto significa que las solicitudes entrantes a su servidor se obtendrán de CloudFlare, no del atacante.

Piénsalo de esta manera:

[Attacker] -----> [  YourSite  ]
                  [ CloudFlare ]   ----->    [Your Server Request]
                  [ CloudFlare ]   <-----    [Your Server Response]
[Attacker] <----  [  YourSite  ]

CloudFlare se parece a su servidor físico a los atacantes. Realizan consultas, capturas, publicaciones, etc. a su dominio. CloudFlare recibe la solicitud primero y luego realiza una inspección en la solicitud y la reenvía a su servidor físico.

Entonces, cuando ves las solicitudes que llegan de CloudFlare, es porque están sirviendo como un proxy inverso. El /like y el /undefined aún podría ser un atacante que intenta identificar vulnerabilidades conocidas en su sitio.

    
respondido por el Mike Mackintosh 19.09.2013 - 15:38
fuente

Lea otras preguntas en las etiquetas