Abbiamo registrato le richieste GET sul nostro dominio con quanto segue:
XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFHHGG
Questo non ha significato sul nostro sito. Una ricerca sul Web non ha rivelato alcuna informazione, ma alcuni altri luoghi che hanno registrato richieste simili.
Questo è un tipo noto di attacco? Quale potrebbe essere il targeting?
Questa è una richiesta dannosa, ma non sta tentando di sfruttare una vulnerabilità. Sta cercando di generare una pagina 404, per determinare quale tipo di server web o CMS stai eseguendo, identificando i token nell'origine della pagina. Le pagine di errore spesso specificano il nome e la versione CMS, o il nome e la versione del server Web, quindi è un obiettivo facile per la ricognizione.
Il miglior consiglio che posso darti è di tenere tutto aggiornato e assicurarti che le regole del tuo firewall siano configurate correttamente. I target primari sono probabilmente il tuo CMS e il web server, ma anche il tuo sistema operativo è importante da applicare alle patch.
Se hai alcuni IP che lo fanno costantemente e sei certo che non siano clienti validi, sentiti libero di bloccarli per alcune settimane per vedere se rimangono persistenti.
Questa non è una richiesta dannosa. In realtà è una richiesta per il logo png di un dispositivo Fortinet. Questo logo viene visualizzato sulla pagina di autenticazione dei firewall Fortinet e di altri dispositivi di rete Fortinet.
Detto questo, se vedi molte richieste, potrebbe essere che un utente malintenzionato stia tentando di forzare l'autenticazione.
Richiesta di esempio:
Request URL:https://192.168.1.1:1003/XX/YY/ZZ/CI/MGPGHGPGPFGGHHPFBGFHEHIG
Request Method:GET
Status Code:200 OK
Remote Address:192.168.1.1:1003
Response Headers
view source
Connection:Close
Content-Length:1622
Content-Type:image/png
Request Headers
view source
Accept:image/webp,image/*,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch, br
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
DNT:1
Host:192.168.1.1:1003
Referer:https://192.168.1.1:1003/fgtauth?000a089886bb41a2
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFBGAHAH
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFHHGG
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGOGFGEH
Esistono modi più semplici e discreti per generare un errore 404 per sondare le informazioni del server. Questo pattern URL è un artefatto di Fortigate / Fortinet e del moderno ambiente di cloud networking.
La pagina "smetti di guardare porno sul lavoro" di Fortinet effettua alcune chiamate ai percorsi sopra a url.fortinet.net:8008 per scaricare asset statici.
Il tuo sito è attualmente ospitato su un IP che un tempo faceva parte del pool IP di Fortinet. Non è più così, ma alcuni IP, cache DNS o crawler con hard-coding da qualche parte stanno avendo difficoltà a gestire questo fatto e si rifiuta di lasciarlo andare, quindi stai vedendo il traffico erroneamente reindirizzato al tuo sito invece di essere inviato a Fortinet.
Si vedrà un comportamento simile quando si guardano i registri HTTP per qualsiasi servizio Web avviato su un'istanza di calcolo del cloud pubblico: un sacco di traffico destinato al tenant precedente. Questa non è una richiesta malevola, né indica un attacco ed è sicuro da ignorare.
Per una sicurezza semplice ma efficace assicurati che il tuo server web stia controllando le intestazioni degli host-- dovrebbe solo accettare il traffico che fa riferimento al tuo dominio attuale. Chiunque tenti di andare a http://36.10.52.4/index.html non dovrebbe essere servito, dovrebbe essere offerto solo se ha richiesto http://yoursite.com/index.html .
Facendo le cose in questo modo puoi anche configurare il tuo webserver per restituire i codici HTTP personalizzati (andati, spostati permanentemente, ecc.) a chiunque richieda risorse appartenenti ad ex inquilini.
Leggi altre domande sui tag http