"CHANGELOG.txt" en los registros de Apache

Navega tus respuestas
1

Recientemente he visto un aumento importante en el siguiente tipo de solicitudes a mis registros de Apache:

  

"GET /CHANGELOG.txt HTTP / 1.1" 404 211

Hace aproximadamente un mes, no recibí ninguno. Ahora recibo una docena más o menos cada día. Ocasionalmente, se acompañan de otros análisis de vulnerabilidad más obvios, pero generalmente vienen solos.

Todos provienen de direcciones IP que serían muy inusuales para los usuarios de nuestro servidor.

No estoy particularmente preocupado por una amenaza directa a la seguridad, porque son 404.

Sin embargo mi pregunta es:

  • ¿Es esto realmente una exploración de vulnerabilidad? Si es así, ¿cuál?
  • Si no lo es, ¿alguien sabe lo que es? ¿Han tenido otros también estos recientemente?
pregunta SCruz 22.03.2016 - 17:00
fuente

2 respuestas

2
  

¿Es esto realmente una exploración de vulnerabilidad? Si es así, ¿cuál?

Supongo que sí (es difícil decirlo con seguridad, pero tiene sentido).

También es un archivo bastante práctico para buscar. Con una solicitud, un atacante puede verificar si ha instalado una de varias aplicaciones.

Además, un registro de cambios también contendrá un número de versión actual, por lo que no es necesario buscarlo adicionalmente.

Una aplicación prominente que tenga tal archivo sería Drupal, pero es un nombre de archivo muy genérico, por lo que muchas otras aplicaciones lo usarán también.

Un atacante también podría aplicar filtros básicos en las primeras líneas del archivo y obtener una cadena que probablemente contenga el nombre de la aplicación. Luego, pueden examinarlo manualmente y almacenarlo en una base de datos o verificar si lo que se está ejecutando es vulnerable.

    
respondido por el tim 22.03.2016 - 17:13
fuente
2

Probablemente alguien se dio cuenta de que está usando una solución lista para usar (digamos un CMS ) como Joomla, Wordpress, Drupal .

Ese CHANGELOG.txt es un archivo en Drupal CMS. No estoy seguro de si ese es el que está en su servidor.

Entonces, el atacante puede estar tratando de saber qué versión de CMS (Drupal) es esa. Para que pueda usar cualquier exploits conocido para afectar esa versión en particular.

    
respondido por el Sravan 22.03.2016 - 17:13
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor manera de comprobar si una billetera con bloqueo RFID es efectiva? [cerrado] La mejor apreciación para probar la efectividad del firewall interno