¿Cómo descubre el atacante nuestro servidor? [duplicar]

Question

¿Cómo descubre el atacante nuestro servidor? [duplicar]

#1 de iwaseatenbyagrue (119 votos)
#2 de user134702 (15 votos)
#3 de Black Magic (14 votos)

45

Según el título, descubrimos que una dirección IP desconocida está accediendo a nuestro servidor API.

Hemos configurado una instancia de AWS EC2 como un servidor API. La URL del servidor API solo se usa en nuestra aplicación móvil. Sin embargo, nuestra aplicación móvil aún no se ha lanzado y la URL del servidor API no está vinculada desde ningún sitio web público.

Podemos ver que los (múltiples) atacantes intentan aleatoriamente la ruta URL,

i.e. 
/admin/i18n/readme.txt
/a2billing/admin/Public/index.php
/current_config/passwd
/recordings/
/.git/objects

¿Cómo descubren realmente nuestro servidor?

web-scanners

pregunta King Chan 22.03.2017 - 07:01

fuente

3 respuestas

15

Acerca de cada IP ha estado bajo sondeo continuo durante años. Ni siquiera necesita tener un nombre de dominio, basta con un acceso de DHCP IP normal al consumidor. Al ejecutar un servicio http ficticio en su computadora, se obtienen resultados de automatizado / phpmyadmin y dichas sondas. En caso de que su servicio proporcione el código http 200 como respuesta, pueden seguir algunos intentos de abuso.

Los probers y los atacantes usan redes de bots y, por lo tanto, la IP utilizada puede ser cualquier cosa, desde la dirección de la casa de un hacker hasta la IP de un aparato de cocina ... y más. Bloquear direcciones IP ya no funciona. Si desea tener algo en Internet antes de la publicación, es posible que desee incluir en la lista blanca las direcciones que necesitan acceder al sitio.

Recuerde: nunca permita el acceso directo de SSH a sus servidores desde Internet. Los puertos SSH están bajo bombardeo similar todo el tiempo. Si tiene un servidor SSH y un nombre de usuario 'dave' con contraseña 'letmein' abierto a Internet, probablemente lo hackeen en un momento.

respondido por el user134702 22.03.2017 - 12:03

fuente

14

Esto parece ser solo escáneres aleatorios en internet. Simplemente deambulan probando diferentes direcciones IP y buscando ciertas carpetas y archivos que podrían indicar vulnerabilidades.

respondido por el Black Magic 22.03.2017 - 07:15

fuente

Lea otras preguntas en las etiquetas web-scanners

¿La publicación de su dirección IP pública es una amenaza para la seguridad? ¿Sería más seguro o no si todas las computadoras en la red usan el mismo sistema operativo?

score 119 · Accepted Answer

La respuesta corta es que muchas personas están escaneando todo la mayoría del tiempo.

Hace algunos años, se consideró poco práctico, pero la combinación de mejores redes, mejores herramientas, mejor rendimiento y más espacio en uso significa que ya no es el caso.

Por ejemplo, Zmap en su página principal:

ZMap es capaz de realizar un escaneo completo del espacio de direcciones IPv4 en menos de 5 minutos, acercándose al límite teórico de diez Gigabit Ethernet.

Las botnets tienden a distribuir el mismo tipo de exploración en un número significativo de nodos, para lograr un resultado similar: es probable que cualquier máquina determinada en Internet sea escaneada al menos una vez por día por un determinado atacante / escáner.

Una vez que se identifica un servidor web en una IP determinada, existen todo tipo de herramientas para probar rutas conocidas y herramientas que intentarán adivinar su mapa del sitio.

En resumen, bienvenido a Internet, donde la oscuridad no es seguridad.

Considere esto en el contexto de la configuración de su aplicación / servicios / widget: con toda probabilidad, las cosas que probablemente prefiera que sean "secretas" no serán, y es necesario defender sus activos y recursos.