In che modo l'hacker scopre il nostro server? [duplicare]

45

Come detto, abbiamo scoperto che alcuni indirizzi IP sconosciuti stanno accedendo al nostro server API.

Abbiamo configurato un'istanza AWS EC2 come server API. L'URL del server API viene utilizzato solo nella nostra app mobile. Tuttavia, la nostra app mobile non è ancora stata rilasciata e l'URL del server API non è collegato da alcun sito Web pubblico.

Possiamo vedere che gli (multipli) aggressori stanno provando a caso il percorso dell'URL,

i.e. 
/admin/i18n/readme.txt
/a2billing/admin/Public/index.php
/current_config/passwd
/recordings/
/.git/objects

Come fanno a scoprire davvero il nostro server?

    
posta King Chan 22.03.2017 - 08:01
fonte

3 risposte

119

La risposta breve è che molte persone stanno eseguendo la scansione di tutto il più delle volte.

Farlo è stato, alcuni anni fa, considerato poco pratico, ma la combinazione di reti migliori, strumenti migliori con un rendimento migliore e più spazio in uso significa che non è più il caso.

Ad esempio, Zmap rivendicazioni sulla sua pagina principale:

ZMap is capable of performing a complete scan of the IPv4 address space in under 5 minutes, approaching the theoretical limit of ten gigabit Ethernet.

Le botnet tendono a distribuire lo stesso tipo di scansione su un numero significativo di nodi, per ottenere un risultato simile: è probabile che una determinata macchina su Internet venga digitalizzata almeno una volta al giorno da un determinato attaccante / scanner.

Una volta che un server web è identificato su un dato IP, ci sono tutti i tipi di strumenti per testare percorsi noti e strumenti che tenteranno di indovinare nella tua sitemap.

In breve, benvenuto su Internet - dove l'oscurità non è sicurezza.

Consideralo nel contesto della configurazione dell'app / servizi / widget - con ogni probabilità, le cose che probabilmente preferiresti essere "segrete" non lo saranno, e la difesa delle tue risorse e risorse è necessaria.

    
risposta data 22.03.2017 - 09:47
fonte
15

Ogni IP è stato sottoposto a sondaggi continui per anni. Non è nemmeno necessario avere un nome di dominio, è sufficiente un normale accesso DHCP da parte del consumatore. Eseguendo un servizio fittizio http sul tuo computer, i punteggi ottenuti da automatici / phpmyadmin e tali sonde. Se il tuo servizio fornisce il codice http 200 come risposta, potrebbero seguire alcuni tentativi di abuso.

I prober e gli attaccanti usano botnet e quindi l'IP utilizzato può essere qualsiasi cosa, dall'indirizzo di casa di un hacker all'IP di un apparecchio da cucina ... e altro ancora. Il blocco degli IP non funziona più. Se desideri avere qualcosa in Internet prima del rilascio, potresti voler autorizzare gli indirizzi che devono accedere al sito.

Ricorda: non consentire mai l'accesso SSH diretto ai tuoi server da Internet. Le porte SSH sono costantemente sotto bombardamenti simili. Se hai un server SSH e il nome utente 'dave' con la password 'letmein' aperta su Internet, probabilmente ti farai hackerare in pochissimo tempo.

    
risposta data 22.03.2017 - 13:03
fonte
14

Sembra che siano solo scanner casuali su Internet. Vagano solo provando diversi indirizzi IP e cercando determinate cartelle e file che potrebbero indicare vulnerabilità.

    
risposta data 22.03.2017 - 08:15
fonte

Leggi altre domande sui tag