Queste sono davvero due domande.
1.) Come hanno scoperto il tuo IP prima ancora di configurare il server?
Come altre persone hanno sottolineato, probabilmente si trattava solo di una scansione di massa e non di qualcosa specificamente mirato a te in particolare. Esistono strumenti come ZMAP che possono eseguire la scansione dell'intero Internet IPv4 in pochi minuti.
link
Ci sono un sacco di persone che raccolgono informazioni su Internet nel suo insieme, semplicemente per scopi commerciali o di ricerca, ma anche molti attori cattivi che fanno altrettanto. Questo è considerato normale per Internet e non è insolito per te avere la tua prima scansione da parte di terzi entro 2-4 minuti dalla connessione di qualsiasi computer a Internet.
Nota: guarda attentamente i log sul tuo server e troverai anche persone che usano un metodo di attacco. Questi sono attori cattivi che hanno un modo per entrare in determinati server con una determinata configurazione alla ricerca di sistemi vulnerabili. Succede sempre.
2.) In che modo gli utenti malintenzionati trovano gli indirizzi IP dei server recentemente distribuiti?
Ci sono diversi modi in cui questo può essere fatto, i più comuni sono i seguenti:
Utilizzare uno strumento di attacco del dizionario a forza bruta per trovare tutti gli host elencati in un DNS esterno delle organizzazioni (o DNS interno configurato in modo errato). THC Hydra è uno strumento che fa un ottimo lavoro
link
Se si tratta di una grande organizzazione, è possibile consultare il numero AS dell'azienda e trovare gli indirizzi IP associati (prefisso IP) per il peering BGP su qualsiasi numero di router che cercano gli occhiali
link
Tieni presente che questo mostrerà solo i loro intervalli IP principali e non i server che gestiscono che potrebbero trovarsi presso un provider di cloud remoto
Un altro metodo consiste nel scaricare un elenco completo del DNS inverso per tutti gli indirizzi IP nello spazio degli indirizzi IPv4.
link
Anche questo non troverà tutto ma troverà molti siti ospitati presso vari fornitori di servizi cloud e potrebbe aiutare a trovare altre gamme di rete o società di terze parti che lavorano con una determinata organizzazione
Infine. Semplicemente usando i motori di ricerca. I motori di ricerca che scoprono tutto il codice HTML e il testo sui siti Web sono un ottimo modo per trovare i server correlati che un'azienda sta configurando anche se non ci sono voci DNS corrispondenti. Come tester di penetrazione, di solito trovo copie di siti Web o sistemi di gestione dei contenuti ospitati da team di sviluppo web che posso utilizzare per accedere al sito Web principale delle aziende o, in alcuni casi, per accedere ai browser Web di persone che lavorano in un'organizzazione specifica. / p>
Inoltre alcuni siti Web faranno riferimento ad altri server di proprietà di una società mostrando l'URL all'altro server. Quindi rottamazione di tutto il sito Web disponibile pubblicamente in html e quindi la ricerca di nomi di dominio e IP all'interno del quale può anche rivelare ulteriori informazioni.
Allo stesso modo, le applicazioni di app per dispositivi mobili e applicazioni personalizzate perdono questo tipo di informazioni.
Nel processo di ricognizione per il test di penetrazione è tipico controllare tutto quanto sopra per scoprire una superficie di attacco aggiuntiva. I cattivi attori possono fare la stessa cosa e i cattivi attori che sono ben organizzati lo fanno sempre usando strumenti automatici.