Dove trovo maggiori informazioni su un determinato tentativo di pirateria informatica sul mio sito web?

1

Avendo un rapporto che mi mostra a quali richieste il mio sito ha risposto con un 404, trovo spesso tentativi di hacking come questo:

  • Alcunisonoricorrentietroppoespliciti,comelerichiesteditipoPHPMyAdminchesfruttanolevulnerabilitànotenellevecchieversionidiPHPMyAdmin.

  • Glialtrisononuoviecorrelatiaqualcosacheèsuccessodirecente.Adesempio,probabilmenteognisitowebharicevutounarichiestadi/index.php?-snegliultimigiorni.

  • Glialtri,infine,sonocripticiperme.Qualè,adesempio,/spaw2/spacer.gifchevedomoltofrequentemente(conlesuevarianticome/admin/spaw/spacer.gif)?Oppure/wpad.datchehogiàvistoalcunevolte?

Ognivoltachevedoun(vulnerabile)exploitdivulnerabilitàneirapportidiunsitoWeb,vogliosapernedipiùsullavulnerabilità,poiché:

  • Sequestavariantedellosfruttamentodellavulnerabilitàfallisceconun404,unaltropuòaveresuccesso,

  • Sel'exploitdivulnerabilitàfallisceconun404sulmiositoweb,puòaveresuccessosuunsitowebdiunodeimieiclientichehadiverseconfigurazioniepiattaforme.

EsisteunsitoWebcheassociagliURI¹allevulnerabilità?Incasocontrario,cometrovarelavulnerabilitàcorrispondenteaunURI,tenendopresenteche La ricerca di Google per questo URI è contaminata da log del server, statistiche di utilizzo e altri report automatici?

¹ Una mappatura di questo tipo avrebbe, naturalmente, due limitazioni: essere in grado di mappare solo i pattern e non l'intera richiesta quando la richiesta contiene, al suo interno, l'indirizzo IP dell'attaccante o di uno zombi, e essere irrilevante per le richieste proxy, ovvero le richieste che cercano di vedere se il tuo sito web può fungere da proxy.

    
posta Arseni Mourzenko 16.05.2012 - 04:36
fonte

1 risposta

1

Avendo un server web, trovo spesso alcuni di questi 404 errori.

Quelle riflettono un bot che prova molti URL che, se non restituiscono un codice di errore 404, significa che l'applicazione mirata esiste nel server e un exploit è possibile.

If this variant of the vulnerability exploit failed with a 404, another one may succeed,

Ricorda che mentre ottieni 404, significa che non hai installato l'applicazione mirata e che il tuo server non è a rischio (per questa applicazione). È quando il bot colpirà un codice di stato http 200 di cui dovrai preoccuparti, poiché significa che la pagina esiste e quindi è presente una possibile vulnerabilità (ora dipende dalla versione dell'applicazione).

Ora, non conosco alcun "URL di corrispondenza per l'applicazione", ma poiché l'applicazione di solito è installata in una directory del loro nome, dì "phpmyadmin" per ... beh, PHPMyAdmin, sarai in grado di supponiamo che /spaw2/spacer.gif sia per editor di Spaw2 .

Ora, per proteggere ulteriormente il tuo server web, posso consigliarti di:

  1. Installa l'applicazione con un nome non logico. PHPMyAdmin non dovrebbe essere presente a /phpmyadmin/ . Come puoi vedere, i bot stanno anche provando /pma/ , ma puoi installarlo a /p-m-a/ o anche a qualcosa di simile a /kikoo/ .
  2. Per applicazioni rischiose, come ... PHPMyAdmin, ti raccomando caldamente di limitare l'accesso solo ad alcuni indirizzi IP, usando il .htaccess se usi Apache, o direttamente nella configurazione del tuo host per altri (come NGinx ). Se non puoi farlo, averlo su un'altra cartella (vedi n. 1) è un buon inizio.
  3. Anche se ti sposti o se non hai installato l'applicazione, avrai ancora gli errori 404. Per ridurlo, puoi aggiungere alcune regole al tuo firewall, come per /spaw2/spacer.gif . Ma non dimenticarli per qualche giorno, avrai davvero un file chiamato esattamente così!
  4. Se usi Apache, puoi configurare Fail2Ban per vietare bot che fanno cose insolite, come " troppi errori di password, ricerca di exploit, ecc. "

Spero che questo aiuti!

    
risposta data 16.05.2012 - 09:16
fonte

Leggi altre domande sui tag