Freaked by "click impossibile" nei log

Naviga le tue risposte
7

Stavo allestendo un ambiente di produzione isolato e accedendo al suo script PHP remoto dal mio mac locale http://example.com/XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0

Ho visto il mio clic nel registro come segue: 

{
  "id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
  "timestamp":1535672410,
  "ip_address":"MY.IP.AD.DR",
  "user_agent":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/68.0.3440.106 Safari\/537.36",
  "referer":null,
  "parameter":"XXX"
}

E non potevo credere ai miei occhi quando ho visto quanto segue nella riga successiva del registro: 

{
  "id":"XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0",
  "timestamp":1535672411,
  "ip_address":"159.203.81.ADDR",
  "user_agent":"Mozilla\/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko\/20100101 Firefox\/33.0",
  "referer":"83.222.249.ADDR",
  "parameter":"XXX"
}

Solo un secondo dopo (vedi "timestamp"), c'è stato un clic da un IP dell'oceano digitale "159.203.81.ADDR" utilizzando un falso agente utente e un falso referente, con lo stesso esatto parametro GET ("XXX") . Sulla Terra non c'è modo di conoscere l'ID "XbAM7Kt7SJj3M8ytJfEQZbwcBLzg0gNWGfyCHL2b0f0" che il mio computer locale ha generato in modo casuale solo pochi minuti prima.

Suppongo che questo significhi che la mia rete locale sia in qualche modo compromessa? La mia attività di rete è stata rilevata da Malware e dal momento che la richiesta era non HTTPS, il malware è riuscito a replicarla per spiare le informazioni sensibili?

Ho scansionato il mio mac locale per malware usando ClamAV e Malwarebytes, entrambi non hanno trovato nulla. Come posso arrivare in fondo a questo? Potrebbe essere che il mio router domestico sia stato infettato da malware?

Non sono sicuro se questo è rilevante, ma recentemente ho sperimentato cose cablate sui miei dispositivi mac e mobili. Ad esempio, quando navigo in siti Web casuali, a volte mi ritrovo a reindirizzare su un sito Web di annunci truffa ("Congratulazioni che hai vinto, inserisci le tue informazioni ..."). Ho scattato uno screenshot di uno di quelli sul mio dispositivo mobile: link

    
posta user9114945 31.08.2018 - 12:28
fonte

4 risposte

6

Abbiamo visto un comportamento simile sui nostri server (alcuni anni fa): alcuni processi automatizzati hanno tentato di riprodurre ogni richiesta effettuata da un utente che ha effettuato l'accesso.


Nel nostro caso il servizio richiedeva TLS per le pagine di accesso, ma consentiva agli utenti loggati di continuare la sessione su pagine non HTTPS. Tuttavia, l'identificativo di sessione è cambiato su ogni richiesta, mentre gli identificatori di sessione utilizzati sono rimasti validi per alcuni secondi dopo la prima volta in cui sono stati inviati al server (per mitigare i problemi di latenza).

Quando il pattern che descrivi è stato notato, abbiamo fatto qualche indagine su chi o quale fosse la fonte della richiesta di ripetizione. Quando abbiamo abbassato il timeout di invalidazione per gli identificatori di sessione riutilizzati, è diventato subito chiaro che le richieste di tutte di determinati utenti sono state ripetute, ma che il pattern è venuto solo a un sottoinsieme di utenti distinto.

Si è scoperto che il fattore comune a questo distinto sottoinsieme di utenti era che erano tutti in Cina. Pensavamo che fosse una caratteristica del grande firewall cinese, abbiamo passato l'intero servizio a HTTPS (obbligatorio) e le richieste di ripetizione si sono interrotte.


Quindi, per farla breve, dal momento che ti stai connettendo al tuo script PHP remoto tramite una connessione non TLS, chiunque, compresi molti processi automatici, potrebbe fare il proprio ingresso nella tua richiesta. Questo potrebbe essere nefasto, ma potrebbe essere altrettanto facilmente una funzione di sicurezza (come il rilevamento anti-malware, ecc.) Da qualche parte.

Passare a HTTPS e vedere se continua. Se si ferma, hai risolto il problema. Se continua, le tue richieste verranno intercettate su uno dei tuoi endpoint (il tuo server o il tuo computer locale).

    
risposta data 31.08.2018 - 22:26
fonte
7

Potrebbe essere un software di sicurezza sul tuo sistema o nella tua rete che controlla se l'URL che visiti è dannoso. Spesso fanno le loro visite da sistemi che non sono ovviamente associati alle società di sicurezza, dal momento che gli aggressori spesso cercano di offrire contenuti innocenti se rilevano un bot da una società di sicurezza. Quindi, invece di cercare di trovare malware, prova a disattivare tutti i software di sicurezza sul tuo sistema o all'interno della tua rete e verifica se il problema scompare.

    
risposta data 31.08.2018 - 12:49
fonte
1

Ci possono essere diverse cause a questo. Il più probabile dal mio punto di vista è una qualche forma di malware, ma non è necessariamente sul tuo mac.

Uno dei principali problemi con il malware è: anche se riesci a rilevare un file infetto (o un'istanza del malware), eliminarlo o distruggerlo non rimuove necessariamente la fonte dell'attività dannosa. Potrebbe essere solo un file secondario. Quindi forse sei stato infettato da qualcosa, forse i tuoi dispositivi mobili sono stati infettati o anche infetti e forse è anche solo il tuo router.

Quindi ecco la triste verità: senza reimpostare l'intero / i dispositivo / i ci sono poche possibilità che ti libererai di questo. Se hai un router vecchio o mal gestito (riguardo aggiornamenti e sicurezza) forse dovrai resettare anche questo. Se vuoi fare un tuffo nella scientifica, ti consiglio anche di non farlo sui tuoi sistemi live a seconda se vuoi usarli anche in altri modi. Mi spiace portare cattive notizie.

    
risposta data 31.08.2018 - 12:36
fonte
0

Hai notato questo fatto?

Firewall e restrizioni per l'ambiente di staging. In caso contrario, il contratto e la NDA che potresti aver firmato con la tua azienda ora sono nulli e potrebbero presentare una causa legale contro di te se qualcun altro ha accesso al tuo ambiente di staging che generalmente ha segreti commerciali. Queste sono le implicazioni in cui ti imbatti senza assumere o cercare un servizio di sicurezza professionale.

Se sei abile in appsec come sono più o meno con la mia esperienza di security engineer . Gli ambienti di staging devono sempre utilizzare il protocollo TLS oltre a firewall , utilizzare iptables e consentire solo determinate sottoreti appartenenti alla intranet aziendale o VPN per accedere a questa istanza di staging.

Hai implementato l'autenticazione di base o il firewall dell'istanza di staging o almeno hai utilizzato TLS durante la comunicazione con quell'istanza di staging?

sì / no

Il problema principale

Sono dannatamente sicuro che non stavi utilizzando una VPN aziendale e non limitassi l'accesso all'istanza di staging tramite IP. Primo punto da notare.

In secondo luogo, il protocollo TLS non è implementato e porta all'intercettazione delle richieste di rete.

    
risposta data 01.09.2018 - 14:50
fonte

Leggi altre domande sui tag

Perché Chrome invia quattro browser nell'intestazione user-agent? Come possono essere sicure le utilità con setuid impostato su root se sono eseguibili?