"CHANGELOG.txt" nei log di Apache

Naviga le tue risposte
1

Recentemente ho visto un aumento significativo nel seguente tipo di richieste ai miei log di Apache:

"GET /CHANGELOG.txt HTTP/1.1" 404 211

Circa un mese fa, non ne ho ricevuto nessuno. Ora ne ricevo una dozzina circa ogni giorno. Occasionalmente sono accompagnati da altre scansioni di vulnerabilità più evidenti, ma di solito vengono da sole.

Tutti provengono da indirizzi IP che sarebbero molto inusuali per gli utenti del nostro server.

Non sono particolarmente preoccupato per una minaccia diretta alla sicurezza, perché sono 404.

Tuttavia la mia domanda è:

  • Si tratta di una scansione di vulnerabilità? Se sì, quale?
  • Se non lo è, qualcuno sa di cosa si tratta? Anche altri ne hanno fatti di recente?
posta SCruz 22.03.2016 - 17:00
fonte

2 risposte

2

Is this actually a vulnerability scan? If so, which one?

Direi di sì (è difficile dirlo con certezza, ma ha senso)

È anche un file piuttosto pratico da cercare. Con una richiesta, un utente malintenzionato può verificare se è stata installata una delle applicazioni multiple.

Inoltre, un log delle modifiche conterrà anche un numero di versione corrente, quindi non è necessario eseguire ulteriori scansioni.

Una delle applicazioni principali con questo tipo di file sarebbe Drupal, ma è un nome di file molto generico, quindi molte altre applicazioni lo useranno.

Un utente malintenzionato potrebbe anche applicare filtri di base sul primo paio di righe del file e ottenere una stringa che probabilmente contiene il nome dell'applicazione. Possono quindi esaminarlo manualmente e memorizzarlo in un database o verificare se ciò che è in esecuzione è vulnerabile.

    
risposta data 22.03.2016 - 17:13
fonte
2

Probabilmente qualcuno ha capito che stai utilizzando una soluzione pronta per l'uso (ad esempio un CMS ) come Joomla, Wordpress, Drupal .

Quella CHANGELOG.txt è un file in Drupal CMS. Non sono sicuro che sia quello sul tuo server.

Quindi, l'attaccante potrebbe provare a sapere quale versione di CMS (Drupal) è. In modo che possa utilizzare qualsiasi exploit noto per l'esecuzione di quella versione specifica.

    
risposta data 22.03.2016 - 17:13
fonte

Leggi altre domande sui tag

Download sicuro dei contenuti inviati dagli utenti Qual è il modo migliore per verificare se un wallet di blocco RFID è efficace? [chiuso]