Heroku postgres: potenziale attacco di forza bruta

0

Ho un'app Django in esecuzione su Heroku con Heroku Postgres.

Stavo guardando l'ultimo registro (qualcosa che non faccio molto spesso) e qualcosa di strano ha attirato la mia attenzione. C'erano tutti questi errori fatali del database come mostrato di seguito:

2017-02-25T20:31:18+00:00 app[postgres.346]: [DATABASE] [5-1] LOG:  could not accept SSL connection: EOF detected
2017-02-25T20:31:18+00:00 app[postgres.347]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "postgres", database "postgres", SSL off
2017-02-25T20:31:19+00:00 app[postgres.348]: [DATABASE] [5-1] LOG:  could not receive data from client: Connection reset by peer
2017-02-25T20:31:20+00:00 app[postgres.349]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "postgres", database "postgres", SSL off
2017-02-25T20:31:20+00:00 app[postgres.350]: [DATABASE] [5-1] FATAL:  password authentication failed for user "postgres"
2017-02-25T20:31:20+00:00 app[postgres.350]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:31:21+00:00 app[postgres.351]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "postgres", database "postgres", SSL off
2017-02-25T20:31:22+00:00 app[postgres.352]: [DATABASE] [5-1] FATAL:  password authentication failed for user "postgres"
2017-02-25T20:34:21+00:00 app[postgres.641]: [DATABASE] [5-1] FATAL:  password authentication failed for user "root"
2017-02-25T20:34:21+00:00 app[postgres.641]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:34:22+00:00 app[postgres.642]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "root", database "root", SSL off
2017-02-25T20:34:23+00:00 app[postgres.643]: [DATABASE] [5-1] FATAL:  password authentication failed for user "root"
2017-02-25T20:37:38+00:00 app[postgres.957]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "test", database "test", SSL off
2017-02-25T20:37:39+00:00 app[postgres.958]: [DATABASE] [5-1] FATAL:  password authentication failed for user "test"
2017-02-25T20:37:39+00:00 app[postgres.958]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:37:40+00:00 app[postgres.959]: [DATABASE] [5-1] FATAL:  no pg_hba.conf entry for host "x.x.x.x", user "test", database "test", SSL off
2017-02-25T20:37:41+00:00 app[postgres.960]: [DATABASE] [5-1] FATAL:  password authentication failed for user "test"
2017-02-25T20:37:41+00:00 app[postgres.960]: [DATABASE] [5-2] DETAIL:  Connection matched pg_hba.conf line 10: "hostssl all         all         0.0.0.0/0             md5"
2017-02-25T20:37:42+00:00 app[postgres.961]: [DATABASE] [5-1] FATAL:  no PostgreSQL user name specified in startup packet
2017-02-25T20:37:42+00:00 app[postgres.962]: [DATABASE] [5-1] FATAL:  no PostgreSQL user name specified in startup packet

Questo è solo un piccolo campione, ci sono circa 800 di queste voci allungate su 6 minuti.

Ora non ho idea di cosa stia causando questo. Non riesco a pensare a nulla dalla mia parte che potrebbe aver causato questo, quindi la mia ipotesi migliore è che ci sia qualche attacco di forza bruta per cercare di entrare nel database? O cosa potrebbe causare questo?

È qualcosa di cui preoccuparsi e come posso evitare che ciò accada di nuovo?

    
posta Johan 26.02.2017 - 14:27
fonte

1 risposta

1

Quasi certamente no. È abbastanza comune vedere attacchi automatici da scanner web: IPv4 è uno spazio di indirizzamento piuttosto piccolo e abbastanza facile da enumerare (IPv6, almeno, fa sì che funzionino un po 'per trovare gli obiettivi!)

È una tattica a basso costo, a basso successo, ma potenzialmente ad alta ricompensa, se incappano in un server con dati interessanti e una password terribile (o predefinita). Assicurati di avere password non banali e starai bene.

    
risposta data 27.02.2017 - 05:33
fonte

Leggi altre domande sui tag