Serie bizzarra di errori Web dallo scanner di vulnerabilità OpenVAS: è dannoso?

2

Una breve serie di errori è appena arrivata da Elmah. Sono molto peculiari e non sono sicuro di ciò che rappresentano e se potrebbero essere dannosi.

Si trattava di una serie di 16 chiamate sequenziali a un indirizzo Web inesistente. In ogni caso la chiamata prende il modulo / Extranet / Account / inesistente- [numero apparentemente casuale di 10 cifre]. / Extranet / Account è un percorso valido sul sito, ma non c'è nulla che associa a qualcosa come inesistente- [numero].

Le chiamate non sono state molto veloci, arrivando nel giro di poco più di un minuto. Quindi è difficile dire se fossero automatici

Elmah mi dice che l'agente utente era Mozilla / 5.0 [it] (X11, U; OpenVAS 7.0.10) e che le chiamate provenivano da un IP in Francia. OpenVAS è un software di scansione delle vulnerabilità. Non vedo nulla su google che suggerisca che sia comunemente usato per scopi dannosi, anche se posso vedere come potrebbe essere.

Se era malevolo, non so spiegare cosa stavano cercando di ottenere facendo una breve serie di chiamate a un indirizzo inesistente con un numero casuale aggiunto alla fine.

Dovrei essere preoccupato? La breve durata indica che le parti responsabili hanno trovato qualcosa di interessante e potrebbero tornare? In tal caso, c'è qualcosa che posso fare per fermarli poiché ho solo l'IP del servizio di scansione stesso?

    
posta Matt Thrower 09.11.2016 - 15:25
fonte

1 risposta

3

Sì, probabilmente è dannoso. Se stai ospitando qualcosa su un IP pubblico, le scansioni di questo tipo sono quotidiane.

Il fatto che lo user agent non sia stato modificato per nascondere il fatto che si tratti di uno scanner suggerisce che si tratta di un progetto di ricerca per principianti o universitari che è richiesto eticamente per pubblicizzare l'uso dello scanner.

La migliore protezione contro attacchi come questi è una difesa multistrato che coinvolge Web Application Firewalls (WAF), server http bloccati e tutta una serie di altri approcci.

    
risposta data 10.11.2016 - 07:47
fonte