Alojé algunos servicios simples para mi propio uso en un servidor de alojamiento compartido comercial. Estas URL son crípticas y no son fáciles de adivinar, y las cadenas de consulta tienden a ser largas y crípticas. Los servicios web son afectados automáticamente (a veces manualmente) varias veces al día, desde mis instalaciones o desde los trabajos cron en el host (lo menciono principalmente para ilustrar que habría un gran volumen de consultas cifradas para analizar). Cambié mi alojamiento a HTTPS, hace aproximadamente dos años, por lo que todas las rutas y consultas de los sitios web deben estar cifradas de extremo a extremo, con solo la filtración del nombre de dominio.
A veces, estas URL se envían en el cuerpo del correo electrónico, se invocan desde el script de servicio y usan una cuenta de correo electrónico en la empresa de alojamiento (usando el mismo dominio que el script para la dirección de correo electrónico, fwiw), se envían con seguro correo electrónico.
Mi proveedor de correo electrónico entrante (una gran empresa de tecnología que ofrece cuentas de correo electrónico) también está utilizando el correo electrónico seguro en tránsito hacia mí.
El correo electrónico a menudo no está cifrado en reposo en los servidores de correo, por lo que entiendo, por lo que potencialmente podría estar disponible para los empleados de mi proveedor remitente (servidor / correo electrónico) o mi proveedor de correo electrónico receptor.
Recientemente, he visto una pequeña cantidad de visitas a mis servicios web de direcciones IP desconocidas y características HTTP de clientes que no son yo. Lo extraño es que usan la ruta completa correcta de la URL, pero las consultas están distorsionadas de forma extraña: tienen el número correcto de términos, longitudes de clave y longitud de valor, pero los nombres de clave y los valores clave son incomprensibles.
Por ejemplo, si mi URL correcta para una consulta es: enlace
... la URL de sondeo podría ser: enlace
He comprobado todos los permisos en mi servidor compartido. No creo que otro usuario en ese servidor pueda acceder a mis archivos. Sin embargo, un empleado de soporte de la empresa de alojamiento podría, o alguien que se haya infiltrado en la empresa de alojamiento en algún nivel, ya sea de alojamiento o correo electrónico. No he visto ninguna otra indicación de incumplimiento en mis instalaciones o en los proveedores de alojamiento o correo electrónico.
Dado que las URL se originan en un par de ubicaciones diferentes, pero pasar por la misma ruta de correo electrónico favorecería que el incumplimiento sea de correo electrónico y no de alojamiento o de mis instalaciones.
Me parece que cualquiera de ellos puede oler parcialmente mis URL completas y determinar la estructura de la consulta pero no el contenido. O que pueden oler la URL completa con una consulta, pero optan por probar con claves y valores de consulta alternativos. No veo ningún 404 que indique un sondeo de otras rutas de acceso o estructuras de consulta incorrectas.
Dos preguntas:
-
¿Es este patrón de sondear mi sitio web algo que otros han visto, y si es así, cuál es el propósito de modificar las consultas o cuál es la limitación para observar completamente los términos de la consulta si se puede observar la ruta completa?
-
¿Cuál parece ser la vía más probable para el incumplimiento, de entre las que he descrito anteriormente o de otra en la que no he pensado?
P.S. Esta pregunta me parece más seguridad que webmaster, e incluye elementos de alojamiento y correo electrónico, pero por favor avise.