Dalla mia esperienza, DirBuster tende ad essere usato più spesso da un vero aggressore umano invece di un bot che scansiona tutto quello che riesce a trovare. La scansione automatica al 100% in genere cerca solo una manciata di nomi di directory per sfruttare specifiche vulnerabilità, mentre DirBuster viene solitamente utilizzato per provare e bruteforce da un dizionario di grandi dimensioni.
Quindi, questo potrebbe indicare che un utente malintenzionato ha individuato in modo specifico il tuo sito. L'attaccante può o non può essere dedicato, e possono o meno essere particolarmente intelligenti.
Non sono sicuro se stai dicendo che ci sono molti registri del genere, o se hai notato solo una richiesta. Se c'è una sola richiesta, allora è solo alla ricerca di quella directory, nel qual caso è quasi certamente un attacco completamente automatico. Se vedi più di alcune richieste con quell'agente utente, continua a leggere.
Quello che dovresti fare prima è cercare l'indirizzo IP e determinare se è un proxy di qualche tipo (proxy HTTP, VPN, nodo di uscita Tor), o se sembra essere un IP residenziale. Quindi, grep
i log di accesso per tale IP per la scorsa settimana circa e verificare se sono state effettuate visite precedenti o visite dopo questa scansione. Se si tratta di un proxy abbastanza generico, le visite passate da quell'IP potrebbero non appartenere alla stessa entità, quindi tienilo a mente.
E, soprattutto, fai un controllo rapido di tutto nella directory webroot (tipicamente /var/www
o /var/www/html
sulle distribuzioni Linux, nessuna idea per IIS). Disabilita l'indicizzazione delle directory e cerca elementi sensibili di cui potresti aver dimenticato, come un backup .tar
o .sql
file contenente codice sorgente o un dump del database.
Se le uniche cose accessibili al pubblico sono le applicazioni reali che si desidera vengano utilizzate dagli utenti, non c'è davvero nulla di cui preoccuparsi. Oltre a questo, l'unica preoccupazione rimanente è se l'attaccante sembra essere un vero umano, e in tal caso, se hanno eseguito altre azioni nel tentativo di violare il server.