Objeto de respuesta XML de Twilio malintencionado [cerrado]

0

Así que estaba mirando algunos registros de firewall y vi una actividad extraña en una dirección IP remota. Revisé la dirección a través del navegador ya que https estaba abierto, el certificado era para * .twilio.com y twilio.com. Es una dirección de AWS, que es una opción popular para los piratas que desean activar un servidor gratuito.

Mi primera pregunta es ¿cómo podrían obtener tanto el certificado como la clave para el certificado de comodín de twilio?

Mi segunda pregunta es ¿qué significa esta respuesta XML? La página se hace pasar por el sitio web de twilio. Los propietarios del servidor de seguridad usan twilio para fines de teléfono y texto, ¿podría usarse esta respuesta XML para hacerlo? Hubo 2 intentos recientes para ejecutar este código.

<TwilioResponse>
<Versions firstpageuri="/?Page=0&PageSize=50" numpages="1" end="1" total="2" previouspageuri="" lastpageuri="/?Page=0&PageSize=50" uri="/" pagesize="50" start="0" nextpageuri="" page="0">
<Version>
<Name>2008-08-01</Name>
<Uri>/2008-08-01</Uri>
<SubresourceUris>
<Accounts>/2008-08-01/Accounts</Accounts>
</SubresourceUris></Version>
<Version>
<Name>2010-04-01</Name>
<Uri>/2010-04-01</Uri>
<SubresourceUris>
<Accounts>/2010-04-01/Accounts</Accounts></SubresourceUris></Version></Versions>
</TwilioResponse>
    
pregunta Benjamin Pinkert 14.04.2017 - 01:40
fuente

1 respuesta

1

Sí, era un servidor de twilio legítimo. Saltó un poco el arma. Nos preocupan las amenazas internas y externas debido a dos fallas extrañas del servidor. El directorio / etc y el directorio / usr / bin se han eliminado en ambas ocasiones, por lo que hay algún tipo de juego sucio, no estoy seguro de dónde.

    
respondido por el Benjamin Pinkert 15.04.2017 - 23:56
fuente

Lea otras preguntas en las etiquetas