Pila entrante de WordPress visitada "localhost" en AWS

Navega tus respuestas
0

Estoy probando un servidor web en una instancia de aws EC2, tiene una pila de wordpress. El dominio está configurado correctamente, la estática pública (ip elástica) se redirige al dominio principal, así como a los dns públicos aws. Por lo tanto, el dominio solo puede visitar el sitio web.

Mientras monitoreaba las conexiones entrantes con wordfence noté que alguien visitó enlace ... ¿Cómo es esto posible? La dirección IP se refiere a una empresa aleatoria en el Reino Unido. ¿Crees que es un intento de pirateo y alguien realmente ha obtenido los ssh keypairs para acceder al localhost o es un falso positivo por palabra valla? Tenga en cuenta que el sitio solo se ejecuta durante aproximadamente 3 días ...

    
pregunta CryptoTex 10.02.2018 - 14:07
fuente

1 respuesta

1
  

Mientras monitoreaba las conexiones entrantes con wordfence noté que alguien visitó enlace ...

No está del todo claro lo que realmente viste, pero supongo que alguien comprobó si tu servidor web podría usarse como un proxy para acceder a un host interno. Un servidor web configurado correctamente no permitirá esto y, en este caso, podría ignorar este mensaje como el "ruido" habitual que se produce si conecta un sistema a Internet.

Si, por el contrario, su servidor permitiría una solicitud de este tipo, se podría usar para evitar los límites existentes: un servidor web en localhost (o en alguna red interna) a menudo se considera protegido del acceso externo o se omite la autenticación si el acceso proviene de una dirección IP interna. Si el atacante logra usar su servidor web como proxy para acceder a los sistemas internos o localhost, la solicitud al servidor interno provendrá de la dirección interna de su máquina (o de localhost cuando acceda a localhost) y, por lo tanto, de un sistema confiable. De esta manera, el atacante puede acceder a sitios internos que no deben ser accesibles desde el exterior.

Para obtener más información, consulte, por ejemplo, Tecnologías de servidor - Anulación de proxy inverso .

    
respondido por el Steffen Ullrich 10.02.2018 - 15:40
fuente

Lea otras preguntas en las etiquetas

¿Se ha reducido la seguridad de un cliente VPN en una máquina virtual? ¿Cómo ejecutar las pruebas FCS_TLSS para la evaluación de criterios comunes? [cerrado]