Heroku postgres: potencial ataque de fuerza bruta

0

Tengo una aplicación Django ejecutándose en Heroku usando Heroku Postgres.

Estaba mirando el último registro (algo que no hago muy a menudo) y algo extraño llamó mi atención. Hubo todos estos errores fatales de la base de datos como se muestra a continuación:

2017-02-25T20:31:18+00:00 app[postgres.346]: [DATABASE] [5-1] LOG:  could not accept SSL connection: EOF detected
2017-02-25T20:31:18+00:00 app[postgres.347]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "postgres", database "postgres", SSL off
2017-02-25T20:31:19+00:00 app[postgres.348]: [DATABASE] [5-1] LOG:  could not receive data from client: Connection reset by peer
2017-02-25T20:31:20+00:00 app[postgres.349]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "postgres", database "postgres", SSL off
2017-02-25T20:31:20+00:00 app[postgres.350]: [DATABASE] [5-1] FATAL:  password authentication failed for user "postgres"
2017-02-25T20:31:20+00:00 app[postgres.350]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:31:21+00:00 app[postgres.351]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "postgres", database "postgres", SSL off
2017-02-25T20:31:22+00:00 app[postgres.352]: [DATABASE] [5-1] FATAL:  password authentication failed for user "postgres"
2017-02-25T20:34:21+00:00 app[postgres.641]: [DATABASE] [5-1] FATAL:  password authentication failed for user "root"
2017-02-25T20:34:21+00:00 app[postgres.641]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:34:22+00:00 app[postgres.642]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "root", database "root", SSL off
2017-02-25T20:34:23+00:00 app[postgres.643]: [DATABASE] [5-1] FATAL:  password authentication failed for user "root"
2017-02-25T20:37:38+00:00 app[postgres.957]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "test", database "test", SSL off
2017-02-25T20:37:39+00:00 app[postgres.958]: [DATABASE] [5-1] FATAL:  password authentication failed for user "test"
2017-02-25T20:37:39+00:00 app[postgres.958]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:37:40+00:00 app[postgres.959]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "test", database "test", SSL off
2017-02-25T20:37:41+00:00 app[postgres.960]: [DATABASE] [5-1] FATAL:  password authentication failed for user "test"
2017-02-25T20:37:41+00:00 app[postgres.960]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:37:42+00:00 app[postgres.961]: [DATABASE] [5-1] FATAL:  no PostgreSQL user name specified in startup packet
2017-02-25T20:37:42+00:00 app[postgres.962]: [DATABASE] [5-1] FATAL:  no PostgreSQL user name specified in startup packet

Esto es solo una pequeña muestra, hay aproximadamente 800 entradas de este tipo extendidas en 6 minutos.

Ahora no tengo idea de lo que está causando esto. No puedo pensar en nada por mi parte que pueda haber causado esto, así que mi mejor conjetura es que es un ataque de fuerza bruta para intentar ingresar a la base de datos. ¿O qué podría estar causando esto?

¿Es algo de qué preocuparse y cómo puedo evitar que esto vuelva a suceder?

    
pregunta Johan 26.02.2017 - 14:27
fuente

1 respuesta

1

Casi seguro que no. Es bastante común ver ataques automatizados desde escáneres web: IPv4 es un espacio de direcciones bastante pequeño y bastante fácil de enumerar (IPv6, al menos, hace que funcionen un poco para encontrar objetivos).

Es una táctica de bajo costo, bajo éxito, pero potencialmente alta recompensa si se topa con un servidor con datos interesantes y una contraseña terrible (o predeterminada). Solo asegúrate de tener contraseñas no triviales y estarás bien.

    
respondido por el etherealflux 27.02.2017 - 05:33
fuente

Lea otras preguntas en las etiquetas