Detectado intento de pirateo, ¿y ahora qué?

1

Estoy en el proceso de desarrollar una aplicación web basada en php / mysql. Tomé la ruta complicada y, en lugar de usar un marco o cualquier otra cosa, construí toda la base de mi aplicación desde cero. Todo esto mientras aprendía a codificar REALMENTE (sabía muy poco, ahora estoy bastante avanzado. Pero creo que de un experto o un profesional ...)

Me hice páginas de error 404 personalizadas, que registran la URL que el usuario intentó ver, la URL de la que procedían y todas las variables que están activas en el contexto, incluida la dirección IP. Esto es para detectar errores en mi sitio y para detectar un poco los intentos de piratería.

Desde que puse en vivo una versión BETA de mi sitio hace 5 meses, he recibido algunos (menos de 3) bots que intentan obtener acceso a wp-login.php Por lo general, esos no eran más de 5 solicitudes realizadas y, desde luego, desde un bot, debido a la rapidez con la que se realizaron las solicitudes.

Esos no me molestaron mucho (a pesar de que sí informé sobre la propiedad intelectual a GoDaddy, porque su nombre apareció con él). Ya que no uso wordpress y los directorios que se intentaron para la penetración ni siquiera existen.

Sin embargo, hoy, una dirección IP ubicada en España pasó 20 minutos en mi sitio e hizo más de 60 solicitudes a URLS como

  
  • / base / captcha / index /
  •   
  • / join
  •   
  • /signup.php
  •   
  • /register.php%22%3E%3Cspan
  •   
  • /? page = login & cmd = register
  •   
  • /sign_up.html
  •   
  • / action / sign_up
  •   
  • /modules.php?app=user_reg
  •   
  • /index.php?app=home&mod=public&act=register
  •   
  • /index.php?app=home&mod=Public&act=isEmailAvailable
  •   
  • /reg.asp?reg=reg
  •   
  • /ucp.php?mode=register&change_lang=en
  •   
  • / miembro / registro
  •   
  • /includes/captcha.php
  •   
  • /login.php?part=register&action=person
  •   
  • /User/Register.aspx
  •   

La lista sigue y sigue ...

No estoy seguro de si se trató de un ataque automático o si una persona realmente probó cada URL , ya que solo se trata de 3 solicitudes por minuto.

Afortunadamente, ninguna de esas solicitudes produjo ningún resultado, ya que la mayoría de ellas estaban dirigidas a directorios no existentes, las que intentaron pasar las variables GET no tuvieron ningún efecto, ya que mis scripts no las habrían utilizado.

Entonces, aunque estoy un poco orgulloso de mí mismo, un ataque tan elaborado no ha hecho nada, lo que me muestra que mi código base es bastante sólido y no es fácil de penetrar, también estoy nervioso porque siento un poco como Es posible que haya tenido suerte de usar directorios y nombres de archivos poco convencionales ... Tenía mucha conciencia de la seguridad al programar mi aplicación, pero me siento muy débil debido a mis antecedentes ...

También Me pregunto cuál fue el objetivo del pirata informático de probar todas estas URL. Es gratis registrar una cuenta en mi sitio ...?! y las ventajas de mi Actualmente, el sitio está super bajo. Sólo unas cien direcciones de correo electrónico son lo más valioso que tengo en mi base de datos.

El empresario en mí está pensando que un competidor mío intentó penetrar en mi sitio ... :-D

Entonces, además de las preguntas indirectas resaltadas, mis preguntas principales son:

¿Qué debo hacer con la información que recibí hoy?

¿Debo poner en marcha mecanismos que simplemente bloqueen las IP después de un cierto número de solicitudes de página fallidas dentro de un cierto período de tiempo?

¿Alguien está familiarizado con este ataque específico?

    
pregunta olli 21.09.2013 - 21:26
fuente

3 respuestas

6

Bienvenido a las interwebs salvajes.

Los dos ataques que describiste parecen prácticamente exploraciones automatizadas realizadas a través de alguna herramienta. Algunas herramientas pueden incluso limitar las solicitudes para evitar la detección por parte de IDS, por lo que podría ser una razón para una tasa de solicitud lenta del análisis que mencionó.
Este análisis específico que mencionó parece detectar la presencia de un software de foro en su sitio web. (por ejemplo, ucp.php es un archivo de foro phpBB).

  

Me pregunto cuál fue el objetivo del pirata informático de probar todas estas URL

El objetivo del atacante aquí es identificar el marco / lenguaje de scripting / software que se ejecuta en este dominio.

  

¿Qué debo hacer con la información que recibí hoy?

Bueno, si tiene curiosidad por saber más sobre las intenciones detrás de estos ataques, puede buscar la dirección IP en google y verificar si hay alguna instancia conocida de ataques de esta IP.
Por ejemplo, acabo de revisar los registros de mi servidor en busca de tal escaneo automatizado en las últimas 1 horas y vi exploraciones extensas desde esta IP 88.190.60.68 . Buscar esto en google inmediatamente me llevó a este informe y esta página que detalla más sobre esta propiedad intelectual de rouge y sus actividades. Así que al menos puedo estar seguro de que esto no fue un ataque dirigido (la mayoría no lo es).

Si desea ir un paso más allá, puede instalar software como fail2ban y configurarlo para que detecte automáticamente dichos análisis y ponga en la lista negra Dirección IP durante un tiempo específico.

  

¿Alguien está familiarizado con este ataque específico?

Me temo que es posible que veas más exploraciones de este tipo a medida que tu sitio (dominio) se vuelva popular / antiguo. Hay toneladas de guiones con varias intenciones. Algunos intentan encontrar comentarios / páginas de comentarios donde solo pueden publicar enlaces de spam. Otros podrían estar buscando alguna vulnerabilidad muy específica.

    
respondido por el CodeExpress 22.09.2013 - 03:02
fuente
1

Probablemente sería bastante seguro decir que este fue un análisis automatizado que busca scripts conocidos con vulnerabilidades. Con toda honestidad, esto no tiene nada que ver con su capacidad para codificar, sino con la pereza de los chiquillos de script que buscan sitios web defectuosos.

Lo más probable es que un atacante no tenga idea de qué scripts, marcos, aplicaciones y servicios se están ejecutando en su servidor si bloquea ciertos atributos de encabezado de acuerdo con las mejores prácticas. Tendrán que adivinar probando todas las estructuras de directorios y los archivos clave conocidos (como wp-config.php ) y esperando una respuesta 200 OK del servidor HTTP. Si obtienen 200, saben que el script está activo y pueden comenzar a reducir las fallas de seguridad conocidas, por ejemplo, si encuentran wp-config.php pueden intentar la inclusión remota para obtener sus vars, pueden intentar encontrar wp-ajax.php a puerta trasera o pozo de agua de su sitio, etc.

Bastante, toma lo que aprendiste del ataque y codifícalo. No nombre ninguno de sus archivos o rutas con archivos y directorios escaneados con frecuencia. Al permanecer debajo del agua, es de esperar que pueda mantener su código a salvo por un poco más de tiempo.

    
respondido por el Mike Mackintosh 21.09.2013 - 23:31
fuente
0
  

¿Alguien está familiarizado con este ataque específico?   Al observar las solicitudes, me atrevería a decir que fue visitado por un robot de registro.

     

¿Qué debo hacer con la información que recibí hoy?   Sí, hay formas en que puede utilizar esta información para administrar / proteger su servidor, pero esa es una conversación mucho más larga y depende en gran medida de su red, sus necesidades de seguridad y su necesidad de brindar asistencia a los clientes.

La clase de acción sobre la información (por ejemplo, autoban / autoblock por IP, etcétera) puede, al menos, monitorear lo que está sucediendo. Esta también es una larga conversación y una multitud de enfoques que dependerán de los mismos aspectos principales (red, seguridad y soporte) mencionados anteriormente.

Si aún no está utilizando algún tipo de paquete analytics en su sitio web, diría que sería lo más útil y lo que podría hacer: se duplicaría como un mecanismo de informe para su legítimo usuarios, así como cualquier visitante no deseado.

    
respondido por el GuyHoozdis 22.09.2013 - 00:50
fuente

Lea otras preguntas en las etiquetas