¿Este comportamiento es el resultado de malware?

0

He configurado un nuevo conjunto de servidores para probar un software en Amazon EC2, y había configurado mi aplicación. Le he dado acceso público y una entrada de DNS, por lo que es fácilmente accesible para aquellos que necesitan probarlo.

Hoy he encontrado lo siguiente en los registros de la aplicación (al lado de las solicitudes de solicitud habituales):

GET /manager/html 404 2ms
HEAD / 200 1ms - 2.65kb
GET /manager/html 404 2ms
GET /w00tw00t.at.blackhats.romanian.anti-sec:) 404 1ms
GET /phpMyAdmin/scripts/setup.php 404 1ms
GET /phpmyadmin/scripts/setup.php 404 0ms
GET /pma/scripts/setup.php 404 1ms
GET /myadmin/scripts/setup.php 404 1ms
GET /MyAdmin/scripts/setup.php 404 1ms
GET / 200 2ms - 2.65kb
GET /w00tw00t.at.blackhats.romanian.anti-sec:) 404 1ms
GET /phpMyAdmin/scripts/setup.php 404 1ms
GET /phpmyadmin/scripts/setup.php 404 0ms
GET /pma/scripts/setup.php 404 1ms
GET /myadmin/scripts/setup.php 404 1ms
GET /MyAdmin/scripts/setup.php 404 1ms
GET /manager/html 404 2ms

He estado leyendo sobre software que realiza este tipo de solicitudes y parece ser solo una herramienta automatizada para encontrar vulnerabilidades en el sistema.

Ahora, sé que solo yo y una segunda persona hemos accedido a este servicio, no se publica ni se menciona en ningún otro lugar que no sea Amazon. También sé que ninguno de nosotros está ejecutando la comprobación de vulnerabilidades contra la aplicación.

Así que quería saber antes de que active las alarmas, ¿estoy infectado por este malware o por otra persona?

    
pregunta Alpha 15.08.2014 - 14:28
fuente

1 respuesta

1

No, este es definitivamente un escáner que prueba varias URL en el servidor para ver qué URL puede encontrar.

Por ejemplo, si encuentra "/phpmyadmin/scripts/setup.php", sabe que tiene instalado phpmyadmin y dónde está instalado. El atacante puede encontrar la versión y ejecutar un exploit conocido para obtener acceso.

En cuanto a cómo lo encontraron, podría ser de varias maneras:

  1. Amazon tiene un cierto bloque de IP asignado para su uso. Se conoce públicamente, por lo que simplemente puede golpear cada dirección IP en ese bloque.
  2. Podría fuzz , utilizando un diccionario de palabras y un diccionario de TLD.
  3. Google habrá indexado el sitio, ya que se notificará a Google de todos los registros de dominios (según su estado como registrador (consulte here para una ilustración de los problemas que puede causar)
respondido por el Chris Murray 15.08.2014 - 14:55
fuente

Lea otras preguntas en las etiquetas