Estoy en el proceso de desarrollar una aplicación web basada en php / mysql. Tomé la ruta complicada y, en lugar de usar un marco o cualquier otra cosa, construí toda la base de mi aplicación desde cero. Todo esto mientras aprendía a codificar REALMENTE (sabía muy poco, ahora estoy bastante avanzado. Pero creo que de un experto o un profesional ...)
Me hice páginas de error 404 personalizadas, que registran la URL que el usuario intentó ver, la URL de la que procedían y todas las variables que están activas en el contexto, incluida la dirección IP. Esto es para detectar errores en mi sitio y para detectar un poco los intentos de piratería.
Desde que puse en vivo una versión BETA de mi sitio hace 5 meses, he recibido algunos (menos de 3) bots que intentan obtener acceso a wp-login.php Por lo general, esos no eran más de 5 solicitudes realizadas y, desde luego, desde un bot, debido a la rapidez con la que se realizaron las solicitudes.
Esos no me molestaron mucho (a pesar de que sí informé sobre la propiedad intelectual a GoDaddy, porque su nombre apareció con él). Ya que no uso wordpress y los directorios que se intentaron para la penetración ni siquiera existen.
Sin embargo, hoy, una dirección IP ubicada en España pasó 20 minutos en mi sitio e hizo más de 60 solicitudes a URLS como
- / base / captcha / index /
- / join
- /signup.php
- /register.php%22%3E%3Cspan
- /? page = login & cmd = register
- /sign_up.html
- / action / sign_up
- /modules.php?app=user_reg
- /index.php?app=home&mod=public&act=register
- /index.php?app=home&mod=Public&act=isEmailAvailable
- /reg.asp?reg=reg
- /ucp.php?mode=register&change_lang=en
- / miembro / registro
- /includes/captcha.php
- /login.php?part=register&action=person
- /User/Register.aspx
La lista sigue y sigue ...
No estoy seguro de si se trató de un ataque automático o si una persona realmente probó cada URL , ya que solo se trata de 3 solicitudes por minuto.
Afortunadamente, ninguna de esas solicitudes produjo ningún resultado, ya que la mayoría de ellas estaban dirigidas a directorios no existentes, las que intentaron pasar las variables GET no tuvieron ningún efecto, ya que mis scripts no las habrían utilizado.
Entonces, aunque estoy un poco orgulloso de mí mismo, un ataque tan elaborado no ha hecho nada, lo que me muestra que mi código base es bastante sólido y no es fácil de penetrar, también estoy nervioso porque siento un poco como Es posible que haya tenido suerte de usar directorios y nombres de archivos poco convencionales ... Tenía mucha conciencia de la seguridad al programar mi aplicación, pero me siento muy débil debido a mis antecedentes ...
También Me pregunto cuál fue el objetivo del pirata informático de probar todas estas URL. Es gratis registrar una cuenta en mi sitio ...?! y las ventajas de mi Actualmente, el sitio está super bajo. Sólo unas cien direcciones de correo electrónico son lo más valioso que tengo en mi base de datos.
El empresario en mí está pensando que un competidor mío intentó penetrar en mi sitio ... :-D
Entonces, además de las preguntas indirectas resaltadas, mis preguntas principales son:
¿Qué debo hacer con la información que recibí hoy?
¿Debo poner en marcha mecanismos que simplemente bloqueen las IP después de un cierto número de solicitudes de página fallidas dentro de un cierto período de tiempo?
¿Alguien está familiarizado con este ataque específico?