Richiesta DirBuster trovata nei miei file di registro

Questa voce di registro significa che qualcuno, da qualche parte, cerca di conoscere i nomi delle directory sul tuo server dal semplice ma inadeguato espediente di provare un sacco di nomi possibili - e che qualcuno è abbastanza onesto da lasciare che il suo strumento lo dichiari chiaramente.

Tali attacchi sono molto comuni. Ogni volta che c'è un server pubblico su Internet, ci si possono aspettare attacchi apparentemente casuali. La maggior parte proviene da botnet automatizzati che cercano solo di replicare; provano indirizzi IP o nomi di server casuali e poi cercano "buchi noti".

Non c'è motivo di preoccuparsi di DirBuster a meno che tu non abbia sul tuo server una directory accessibile da utenti non autenticati, eppure preferiresti che quella directory rimanga "nascosta" e la directory nome è ipotizzabile (cioè è qualcosa come "segreto" invece di "7o8AW4dslEwrSD78C9xaUdns5"). Direi che se questo è il tuo caso, allora hai motivo di preoccuparti: non a causa di DirBuster, ma perché stai facendo torto la tua sicurezza e dovresti tornare alla fase di progettazione, questa volta con un architetto chi ha idea della sicurezza.

Dalla mia esperienza, DirBuster tende ad essere usato più spesso da un vero aggressore umano invece di un bot che scansiona tutto quello che riesce a trovare. La scansione automatica al 100% in genere cerca solo una manciata di nomi di directory per sfruttare specifiche vulnerabilità, mentre DirBuster viene solitamente utilizzato per provare e bruteforce da un dizionario di grandi dimensioni.

Quindi, questo potrebbe indicare che un utente malintenzionato ha individuato in modo specifico il tuo sito. L'attaccante può o non può essere dedicato, e possono o meno essere particolarmente intelligenti.

Non sono sicuro se stai dicendo che ci sono molti registri del genere, o se hai notato solo una richiesta. Se c'è una sola richiesta, allora è solo alla ricerca di quella directory, nel qual caso è quasi certamente un attacco completamente automatico. Se vedi più di alcune richieste con quell'agente utente, continua a leggere.

Quello che dovresti fare prima è cercare l'indirizzo IP e determinare se è un proxy di qualche tipo (proxy HTTP, VPN, nodo di uscita Tor), o se sembra essere un IP residenziale. Quindi, grep i log di accesso per tale IP per la scorsa settimana circa e verificare se sono state effettuate visite precedenti o visite dopo questa scansione. Se si tratta di un proxy abbastanza generico, le visite passate da quell'IP potrebbero non appartenere alla stessa entità, quindi tienilo a mente.

E, soprattutto, fai un controllo rapido di tutto nella directory webroot (tipicamente /var/www o /var/www/html sulle distribuzioni Linux, nessuna idea per IIS). Disabilita l'indicizzazione delle directory e cerca elementi sensibili di cui potresti aver dimenticato, come un backup .tar o .sql file contenente codice sorgente o un dump del database.

Se le uniche cose accessibili al pubblico sono le applicazioni reali che si desidera vengano utilizzate dagli utenti, non c'è davvero nulla di cui preoccuparsi. Oltre a questo, l'unica preoccupazione rimanente è se l'attaccante sembra essere un vero umano, e in tal caso, se hanno eseguito altre azioni nel tentativo di violare il server.