¿Dónde puedo encontrar más información sobre las solicitudes de intento de piratería en mi sitio web?

Navega tus respuestas
1

Al tener un informe que me muestra las solicitudes que mi sitio web respondió con un 404, a menudo encuentro intentos de piratería como estos:

  • Algunassonrecurrentesydemasiadoexplícitas,comolassolicitudesdetipoPHPMyAdminqueexplotanlasvulnerabilidadesconocidasenversionesantiguasdePHPMyAdmin.

  • Otrossonnuevosyestánrelacionadosconalgoquesucediórecientemente.Porejemplo,probablementetodoslossitioswebrecibieronunasolicitud/index.php?-slosúltimosdías.

  • Otros,finalmente,soncrípticosparamí.¿Quées,porejemplo,/spaw2/spacer.gifqueveoconmuchafrecuencia(consusvariantescomo/admin/spaw/spacer.gif)?¿O/wpad.datqueyahevistovariasveces?

Cadavezqueveounavulnerabilidaddevulnerabilidad(fallida)enlosinformesdeunsitioweb,quierosabermássobrelavulnerabilidad,yaque:

  • Siestavariantedelavulnerabilidadexplotaconun404,otrapuedeteneréxito,

  • Silavulnerabilidadexplotóconun404enmisitioweb,puedeteneréxitoenelsitiowebdeunodemisclientesquetienendiferentesconfiguracionesyplataformas.

¿HayunsitiowebqueasigneURIavulnerabilidades?Delocontrario,cómoencontrarlavulnerabilidadcorrespondienteaunURI,teniendoencuentaque La búsqueda de Google para este URI está contaminada por los registros del servidor, las estadísticas de uso y otros informes automatizados?

¹ Una asignación de este tipo tendría, por supuesto, dos limitaciones: poder mapear solo los patrones y no toda la solicitud cuando la solicitud contiene, dentro de ella, la dirección IP del atacante o un zombie, y es irrelevante para las solicitudes de proxy, es decir, las solicitudes que intentan ver si su sitio web puede actuar como un proxy.

    
pregunta Arseni Mourzenko 16.05.2012 - 04:36
fuente

1 respuesta

1

Al tener un servidor web, a menudo encuentro algunos de esos errores 404.

Esos reflejan un bot que intenta varias URL que, si no devuelven un código de error 404, significa que la aplicación de destino existe en el servidor, y es posible un exploit.

  

Si esta variante de la vulnerabilidad explota con un 404, otra puede tener éxito,

Tenga en cuenta que mientras obtiene 404, significa que no tiene instalada la aplicación específica y que su servidor no está en riesgo (para esta aplicación). Es cuando el botín llegará a un código de estado http 200 que tendrá que preocuparse, ya que significa que la página existe y por lo tanto existe una posible vulnerabilidad (ahora depende de la versión de la aplicación).

Ahora, no conozco ninguna "Coincidencia de URL con la aplicación", pero como la aplicación generalmente se instala en un directorio con su nombre, diga "phpmyadmin" para ... bueno, PHPMyAdmin, podrás Supongo que /spaw2/spacer.gif es para el editor de Spaw2 .

Ahora, para proteger un poco más tu servidor web, puedo recomendarte que:

  1. Instalar la aplicación en un nombre no lógico. PHPMyAdmin no debe estar presente en /phpmyadmin/ . Como puedes ver, los bots también están probando /pma/ , pero puedes instalarlo en /p-m-a/ o incluso algo opuesto como /kikoo/ .
  2. Para aplicaciones arriesgadas, como ... PHPMyAdmin, te recomiendo que limites el acceso solo a alguna dirección IP, usando el .htaccess si estás usando Apache, o directamente en la configuración de tu host para otros (como NGinx ). Si no puedes, tenerlo en otra carpeta (ver # 1) es un buen comienzo.
  3. Incluso si se muda o si no tiene la aplicación instalada, seguirá teniendo los errores 404. Para reducirlo, puede agregar algunas reglas a su firewall, como por ejemplo para /spaw2/spacer.gif . Pero no los olvide, por si algún día, ¡realmente tendrá un archivo con el mismo nombre!
  4. Si usas Apache, puedes configurar Fail2Ban para prohibir los robots que hacen cosas inusuales, como " demasiadas fallas en las contraseñas, buscando vulnerabilidades, etc. ".

Espero que esto ayude!

    
respondido por el Cyril N. 16.05.2012 - 09:16
fuente

Lea otras preguntas en las etiquetas

¿Hay un enrutador que actúa como VPN para ingresar a la red pero también envía tráfico a través de una VPN? ¿Cuáles son las mejores prácticas para implementar Remote Desktop en una empresa?