acceso 'fantasma' a un archivo php en un servidor web

Navega tus respuestas
1

Estoy desarrollando un proyecto personal y una parte del proyecto es un sitio web de php, alojado en hostinger como un plan gratuito, que permiten a los clientes hacer ping a él y almacena la IP de WAN y la IP de NAT de ellos.

Pueden hacer ping a la página web haciendo una solicitud GET para: mywebsite / ping.php? ip = XXX.XXX.XXX.XXX & description = NOMBRE DE USUARIO

donde 'ip' es la IP de NAT y 'descripción' es un parámetro para almacenar el nombre del usuario. 

// Snippet of ping.php
// obs.: didn't handled the inputs in a correct way because I'm just testing
$real_ip = $_SERVER ['REMOTE_ADDR'];
$ip = isset($_GET ['ip']) ? $_GET ['ip'] : ''; 
$description = isset($_GET ['description']) ? $_GET ['description'] : '';

if (!empty($ip)) {
            // If ip is not set or empty, do not save anything
        // saves the ip (nat), description and the real ip  into database
}
else
{
        // do nothing
}

Mi sitio web está en funcionamiento. Lo probé y guarda mi ip real y local. También creé un archivo php para ver una lista de todos los clientes que hacen ping al servidor.

El misterio

Desplegué el sitio web en línea ayer e hice algunas pruebas enviándolo. Se almacenó mi IP bien. Hoy dejé de trabajar en ello un poco y, cuando volví, me di cuenta de que 10 direcciones IP diferentes hacían ping en mi archivo ping.php con el parámetro 'ip' configurado en su IP de NAT local. Consulte la lista de IP aquí

Durante el tiempo que estuve apagado, estoy seguro de que ninguno de mis programas cliente hizo ping al archivo desde que mi PC se apagó. También las IP encontradas (IP real, no NAT) fueron todas diferentes a las mías (la mía no cambió hasta el momento en que revisé las IP fantasma).

Pregunta: ¿Cómo es posible que alguien llegue a un archivo php en la web y realice una solicitud utilizando los parámetros correctos, ya que solo Dios y yo sabemos acerca de la existencia de este archivo php en mi servidor web?

Información adicional

  • En mi .htaccess ubicado en htm_public, deshabilité la indexación.
  • Nadie, excepto yo, accedió a mi cuenta de hostinger
  • No hay índice o página predeterminada en mi servidor web, solo ping.php y show_all_ips.php
  • Intenté algunos dorks de Google para encontrar mi archivo ping.php pero no pude encontrar nada
pregunta Arthur Silva 03.06.2014 - 13:52
fuente

1 respuesta

1

Las direcciones IP parecen pertenecer a una gran cantidad de ISP / centros de datos europeos: inetnum: 83.31.0.0 - 83.31.255.255 netname: NEOSTRADA-ADSL descr: Neostrada Plus descr: Warszawa country: PL

inetnum: 178.217.184.0 - 178.217.191.255 netname: HOSTEAM-1 descr: HOSTEAM S.C. country: PL

inetnum: 91.0.0.0 - 91.23.255.255 netname: DTAG-DIAL22 descr: Deutsche Telekom AG org: ORG-DTAG1-RIPE country: DE

inetnum: 91.78.0.0 - 91.79.255.255 netname: MTU-PPPOE descr: Comstar-Direct CJSC descr: Mamonovskij pereulok d.5 descr: P.O. BOX 38 123001 descr: Moscow, Russia country: RU

Este debe ser de google NetRange: 8.0.0.0 - 8.255.255.255 CIDR: 8.0.0.0/8 NetName: LVLT-ORG-8-8 NetHandle: NET-8-0-0-0-1 NetType: Direct Allocation OrgName: Level 3 Communications, Inc. OrgId: LVLT Address: 1025 Eldorado Blvd. City: Broomfield StateProv: CO PostalCode: 80021 Country: US

Un par de sugerencias, pegó la URL con el conjunto de parámetros de IP en algún lugar y terminó en una página web y se rastreó como se sugirió anteriormente. Otro ejemplo es que lo pegó en un lugar donde robots no públicos están validando la página. Ejemplos de esto son los analizadores antivirus, por lo que pegarlos en skype / correos electrónicos podría explicar el tráfico. Por último, podrían ser los efectos secundarios de tener malware en su computadora, pero a juzgar por las IP de origen que llegan a su página, creo que es poco probable.

    
respondido por el wireghoul 02.10.2014 - 03:26
fuente

Lea otras preguntas en las etiquetas

hombre en la pregunta central ¿Por qué ciertos idiomas se eligen para el desarrollo de aplicaciones de seguridad en lugar de otros?