web-dev-qa-db-ja.com

攻撃者は最近展開されたサーバーのIPアドレスをどのように見つけますか?

約2か月前、私は主にWebアプリを提供するUbuntuサーバーをデプロイしました。ただし、私はまだアプリを開発しており、同僚と一部の友人にテストのためにサーバーIPのみを提供しています。

昨日、fail2banのログを確認したところ、IPを提供する前に、中国、フランスなどからのSSHブルートフォースの試みが多数行われていることに気付きました。また、サーバーアクセスログを確認したところ、同じIPからのURLに悪意のある試みがあり、SSHをブルートフォースにしようとしていることがわかりました。彼らが行ったリクエストの一例はmyip/otherip/file.phpです。これをどう解釈すればよいかわかりません。私はそのサーバーのIPを追跡しましたが、それは私がいるのと同じホスティング会社にあります。

質問:アプリを提供したり提供したりする前に、サーバーのIPをどのようにして知りましたか?

私の推測:同じホスティング会社のサーバーにつながる、あるパターンの異なるIPを試行し続けるのは、いくつかのボットだと思います。それは正しい仮定ですか、それとも他の可能性がありますか?

30
HassenPy

あなたの推測はおそらく正しいです。

大きなサーバーのホスティング会社は、IPを顧客に割り当てるための連続したIP範囲を持っています。低予算のホスティング業者は、自分が何をしているか知らないアマチュアによって頻繁に使用されるため、パスワードを推測しやすくしたり、安全でないWebアプリケーションを設定したりする可能性があります。これは、これらのIP範囲をブラックハットの価値あるターゲットにします。

ホスティング業者のネットワーク内からこのような攻撃に気付いた場合は、ホスティング業者に報告する必要があります。これは、利用規約の違反である可能性が高いためです...または、ブラックハットがすでに成功している別の顧客のサーバー。

47
Philipp

IPv4アドレスを使用するすべてのサーバーは、自動スキャンおよびブルートフォースの試みという形で、ある程度のバックグラウンドノイズを受け取ります。これは基本的に、アドレススペース全体をスキャンするのが簡単なためです。所要時間は 1時間未満 であり、パッチが完全に適用されていない、またはまだセットアップされていないシステムになる可能性があります。

その結果、どのようなシステムでもこの種のトラフィックが大量に発生することを十分に期待します。このため、セキュリティを整理することが重要ですbeforeサーバーをインターネットに接続できるようにします。ファイアウォールをオンにして、設定中は着信トラフィックをブロックします。テスト用に既知のIPアドレスにアクセスを制限します。安全であることを確認したら、インターネットの残りの部分にファイアウォールを開いて接続できます。

DNS逆引き参照が設定されたサーバーを使用している場合、誰かがIPアドレスを取得すると、システムが所属していると考えているドメイン名を確認できるため、URLも試行されます。

基本的に、システムが安全であることを確認した場合でも、心配する必要はありません。SSHの適切なパスワード(または、キーベースのログイン)を用意し、他のサービスが適切にロックダウンされていることを確認してください。行っていない場合、または侵入したと思われる場合は、サーバーを危害を受けたサーバーのように扱い、ファイアウォール(おそらくホスティングプロバイダー)を整理して、最初からやり直してください。

27
Matthew

IPは電話番号のようなものです。それを使用できるようにするために、どこにでもリストする必要はありません。実際、これは、ISPが「インターネット」の作成に使用するプロトコルであるBGPプロトコルのルーティングテーブル部分にすでにリストされています。

中国人(とりわけ)は、存在するIPアドレスを試して、サービスがそれをリッスンしているかどうかを確認することが知られています。サーバーがプローブの1つに応答すると、自動的に感染を試みます。 (基本的にスクリプト攻撃と呼ばれるもの)

WebサイトのURLは、電話帳に名前をリストするようなもので、そこにアクセスできる「番号」が付いています。これは、公開するとすぐに中国人にも使用されますが、以前に侵入しようとすることを制限するものではありません。

14
LvB

アメリカでは、arin.netはIPアドレスブロックのパブリックリポジトリであり、誰が属しているかがわかります。この情報は、例として、システム管理者がネットワークの外部にいる人々のスパム、ルーティング、またはその他の問題に対処するのに役立ちます。しかし、それはハッカーにも役立ちます。金銭的利益を求めているハッカーは、おそらく司法省、CIA、または軍などの微妙なエンドカスタマーをそのままにしておかなければならず、arin.netディレクトリはそれらを除外するのに役立ちます。そのようなハッカーは、GoDaddy、Amazon、DigitalOcean、Linode、Rackspaceの公開された範囲をより深く掘り下げるでしょう。

各大陸にはarin.netと同様の独自のディレクトリがあります。

不要な訪問者を当てにして、それに応じて準備することもできます。

3
Xavier J

これは本当に2つの質問です。

1.)サーバーをセットアップする前に、IPをどのようにして知りましたか?

他の人が指摘しているように、これはおそらく一部の一括スキャンであり、特にあなたを対象としたものではありませんでした。わずか数分でIPv4インターネット全体をスキャンできるZMAPなどのツールがあります。

https://zmap.io/

インターネットに関する情報を収集する人はたくさんいますが、単に商業目的や研究目的でインターネットを利用している人もいますが、これを行う悪役もたくさんいます。これはインターネットでは正常と見なされており、コンピューターをインターネットに接続してから2〜4分以内にサードパーティが最初のスキャンを行うことは珍しくありません。

注:サーバーのログを注意深く確認すると、1つの攻撃方法を使用しているユーザーも見つかります。これらは、脆弱なシステムを探す特定の構成で特定のサーバーに侵入する方法を持つ悪役です。これは常に起こります。

2.)攻撃者はどのようにして最近展開されたサーバーのIPアドレスを見つけるのですか?

これを行うにはいくつかの方法がありますが、最も一般的な方法は次のとおりです。

ブルートフォース辞書攻撃ツールを使用して、組織の外部DNS(または誤って構成された内部DNS)にリストされているすべてのホストを見つけます。これをうまく行うツールがTHC Hydraです https://github.com/vanhauser-thc/thc-hydra

大規模な組織の場合は、会社のAS番号を調べて、任意の数のルーター監視メガネでのBGPピアリングの関連IPアドレス(IPプレフィックス)を見つけることができます。

https://www.us.ntt.net/support/looking-glass/

これは、メインのIP範囲のみを表示し、リモートクラウドプロバイダーに配置されている可能性のある管理対象サーバーは表示しないことに注意してください

別の方法は、IPv4アドレス空間内のすべてのIPアドレスの逆引きDNSの完全なリストをダウンロードすることです。

https://scans.io/study/sonar.rdns

これもすべてを見つけることはできませんが、さまざまなクラウドプロバイダーでホストされている多くのサイトを見つけ、特定の組織と連携する他のネットワーク範囲またはサードパーティ企業を見つけるのに役立つ場合があります

最終的に。単に検索エンジンを使用します。 Webサイト上のすべてのHTMLとテキストを検出する検索エンジンは、対応するDNSエントリがない場合でも、会社が設定している関連サーバーを見つけるための優れた方法です。侵入テスト担当者として、私はWeb開発チームがホストするWebサイトまたはコンテンツ管理システムのコピーを定期的に見つけます。これを使用して、会社のメインWebサイトにアクセスしたり、特定の組織で働く人々のWebブラウザーにアクセスしたりできます。

さらに、一部のWebサイトは、他のサーバーへのURLを表示することにより、企業が所有する他のサーバーを参照します。したがって、公開されているすべてのWebサイトのhtmlを破棄し、その中でIPとドメイン名を検索すると、詳細情報が明らかになる場合もあります。

同様に、モバイルアプリやカスタムソフトウェアアプリケーションもこのタイプの情報を漏洩します。

侵入テストの偵察を行うプロセスでは、上記のすべてをチェックして追加の攻撃面を発見するのが一般的です。悪い俳優は同じことをすることができます、そして、よく組織された悪い俳優は自動化されたツールを使用してこれをいつもします。

2
Trey Blalock