In che modo gli aggressori trovano gli indirizzi IP dei server distribuiti di recente?

29

Circa due mesi fa, ho implementato un server Ubuntu con lo scopo principale di servire un'app web. Tuttavia, sto ancora sviluppando l'app e ho dato l'IP del server solo al mio collega e ad alcuni amici per il test.

Ieri ho controllato i log di fail2ban e ho notato molti tentativi di bruteforce di SSH da Cina, Francia, ecc. che risalivano a prima che cedessi l'IP. Ho anche controllato i miei log di accesso al server e ho notato alcuni tentativi malevoli sugli URL dagli stessi IP, cercando di bruteforce SSH. Un esempio di una richiesta che hanno fatto è myip / otherip / file.php . Non sono sicuro di come interpretarlo. Ho fatto risalire l'IP di quel server ed è sulla stessa società di hosting in cui mi trovo.

Domanda : come hanno scoperto l'IP del server prima ancora di servirlo o di darlo?

La mia ipotesi : immagino che si tratti di un bot che continua a provare su diversi IP di alcuni pattern che portano a server della stessa società di hosting. È un presupposto corretto o ci sono altre possibilità?

    
posta HassenPy 01.12.2015 - 16:38
fonte

5 risposte

47

Probabilmente la tua ipotesi è corretta.

Gli hoster dei grandi server hanno intervalli IP continui da cui assegnano gli IP ai loro clienti. Gli hostess a basso budget vengono spesso utilizzati dai dilettanti che non sanno cosa stanno facendo, quindi è probabile che utilizzino password facili da indovinare o configurino applicazioni Web non protette. Questo rende questi intervalli IP preziosi obiettivi per i black-hat.

Quando noti tali attacchi dall'interno della rete di hosters, dovresti segnalarli all'hoster, perché molto probabilmente è una violazione dei termini di utilizzo ... o di un server di un altro cliente in cui i black-hat erano già successo.

    
risposta data 01.12.2015 - 16:48
fonte
27

Tutti i server che utilizzano indirizzi IPv4 ricevono un certo livello di rumore di sottofondo sotto forma di scansioni automatizzate e tentativi bruteforce. Questo è fondamentalmente perché è facile scansionare l'intero spazio degli indirizzi - ci vuole meno di un'ora , e può portare a sistemi che non sono stati completamente aggiornato o impostato ancora.

Di conseguenza, mi aspetto che qualsiasi sistema veda un sacco di questo tipo di traffico. Questo è il motivo per cui è importante risolvere la tua sicurezza prima di aprire il tuo server su Internet. Tieni il firewall attivo, bloccando tutto il traffico in arrivo mentre lo configuri. Limitare l'accesso per conoscere gli indirizzi IP per il test. Una volta che sei sicuro che sia sicuro, puoi connettere il firewall al resto di Internet.

Se hai un server con un set di ricerca DNS inverso, una volta che qualcuno ha l'indirizzo IP, può cercare di vedere a quale dominio il tuo sistema pensa di appartenere, quindi anche l'URL tenta.

Fondamentalmente, se hai fatto in modo che il tuo sistema sia sicuro, non preoccuparti: assicurati di avere password decenti per SSH (o, meglio ancora, login basato su chiavi) e che tutti gli altri servizi siano bloccati propriamente. Se non l'hai fatto, o pensi di averlo fatto, trattalo come un server compromesso - ordina il tuo firewall (probabilmente con il tuo provider di hosting) e ricomincia.

    
risposta data 01.12.2015 - 16:50
fonte
14

Il tuo IP è come un numero di telefono. Non c'è bisogno di elencarlo ovunque per poterlo usare. Infatti, è già presente nelle tabelle di routing parte del protocollo BGP, il protocollo utilizzato dall'ISP per la creazione di 'internet'.

I cinesi (tra gli altri) sono noti per provare qualsiasi indirizzo IP esistente per vedere se un servizio è in ascolto su di esso. Il tuo server ha risposto su una delle loro sonde e poi tenta di infettare automaticamente. (in pratica quello che è noto come attacco con script)

L'URL del tuo sito web è come elencare il tuo nome in una rubrica telefonica, con il "numero" al quale puoi accedere. Questo verrà utilizzato anche dai cinesi non appena lo pubblichi, ma non li limiterà a provare ad entrare prima.

    
risposta data 01.12.2015 - 16:44
fonte
3

In America, arin.net è il repository pubblico dei blocchi di indirizzi IP a cui appartengono. Queste informazioni, ad esempio, aiutano gli amministratori sys che si occupano di spam, routing o altri problemi con persone al di fuori delle loro reti. Ma aiuta anche gli hacker. Un hacker in cerca di guadagni finanziari lascerebbe probabilmente solo i deboli clienti finali come il Dipartimento di Giustizia, la CIA o i militari, e la directory arin.net aiuta a escluderli. Un hacker di questo tipo farebbe meglio a scavare nelle gamme pubblicate di GoDaddy, Amazon, DigitalOcean, Linode e Rackspace.

Ogni continente ha una sua directory simile a arin.net.

Puoi anche contare su visitatori indesiderati e prepararti di conseguenza.

    
risposta data 02.12.2015 - 22:41
fonte
2

Queste sono davvero due domande.

1.) Come hanno scoperto il tuo IP prima ancora di configurare il server?

Come altre persone hanno sottolineato, probabilmente si trattava solo di una scansione di massa e non di qualcosa specificamente mirato a te in particolare. Esistono strumenti come ZMAP che possono eseguire la scansione dell'intero Internet IPv4 in pochi minuti.

link

Ci sono un sacco di persone che raccolgono informazioni su Internet nel suo insieme, semplicemente per scopi commerciali o di ricerca, ma anche molti attori cattivi che fanno altrettanto. Questo è considerato normale per Internet e non è insolito per te avere la tua prima scansione da parte di terzi entro 2-4 minuti dalla connessione di qualsiasi computer a Internet.

Nota: guarda attentamente i log sul tuo server e troverai anche persone che usano un metodo di attacco. Questi sono attori cattivi che hanno un modo per entrare in determinati server con una determinata configurazione alla ricerca di sistemi vulnerabili. Succede sempre.

2.) In che modo gli utenti malintenzionati trovano gli indirizzi IP dei server recentemente distribuiti?

Ci sono diversi modi in cui questo può essere fatto, i più comuni sono i seguenti:

Utilizzare uno strumento di attacco del dizionario a forza bruta per trovare tutti gli host elencati in un DNS esterno delle organizzazioni (o DNS interno configurato in modo errato). THC Hydra è uno strumento che fa un ottimo lavoro link

Se si tratta di una grande organizzazione, è possibile consultare il numero AS dell'azienda e trovare gli indirizzi IP associati (prefisso IP) per il peering BGP su qualsiasi numero di router che cercano gli occhiali

link

Tieni presente che questo mostrerà solo i loro intervalli IP principali e non i server che gestiscono che potrebbero trovarsi presso un provider di cloud remoto

Un altro metodo consiste nel scaricare un elenco completo del DNS inverso per tutti gli indirizzi IP nello spazio degli indirizzi IPv4.

link

Anche questo non troverà tutto ma troverà molti siti ospitati presso vari fornitori di servizi cloud e potrebbe aiutare a trovare altre gamme di rete o società di terze parti che lavorano con una determinata organizzazione

Infine. Semplicemente usando i motori di ricerca. I motori di ricerca che scoprono tutto il codice HTML e il testo sui siti Web sono un ottimo modo per trovare i server correlati che un'azienda sta configurando anche se non ci sono voci DNS corrispondenti. Come tester di penetrazione, di solito trovo copie di siti Web o sistemi di gestione dei contenuti ospitati da team di sviluppo web che posso utilizzare per accedere al sito Web principale delle aziende o, in alcuni casi, per accedere ai browser Web di persone che lavorano in un'organizzazione specifica. / p>

Inoltre alcuni siti Web faranno riferimento ad altri server di proprietà di una società mostrando l'URL all'altro server. Quindi rottamazione di tutto il sito Web disponibile pubblicamente in html e quindi la ricerca di nomi di dominio e IP all'interno del quale può anche rivelare ulteriori informazioni.

Allo stesso modo, le applicazioni di app per dispositivi mobili e applicazioni personalizzate perdono questo tipo di informazioni.

Nel processo di ricognizione per il test di penetrazione è tipico controllare tutto quanto sopra per scoprire una superficie di attacco aggiuntiva. I cattivi attori possono fare la stessa cosa e i cattivi attori che sono ben organizzati lo fanno sempre usando strumenti automatici.

    
risposta data 07.12.2015 - 20:01
fonte

Leggi altre domande sui tag