web-dev-qa-db-ja.com

攻撃者はどのようにしてサーバーを発見しますか?

タイトルのとおり、不明なIPアドレスがAPIサーバーにアクセスしていることを発見しました。

AWS EC2インスタンスをAPIサーバーとして設定しました。 APIサーバーのURLはモバイルアプリでのみ使用されます。ただし、モバイルアプリはまだリリースされておらず、APIサーバーのURLはパブリックWebサイトからリンクされていません。

(複数の)攻撃者がURLパスをランダムに試行していることがわかります。

i.e. 
/admin/i18n/readme.txt
/a2billing/admin/Public/index.php
/current_config/passwd
/recordings/
/.git/objects

彼らはどのようにして本当に私たちのサーバーを発見するのでしょうか?

45
King Chan

簡単に言えば、多くの人がほとんどすべての時間ですべてをスキャンしているということです。

そうすることは、数年前には実用的ではないと考えられていましたが、より優れたネットワーク、より優れたツール、より優れたスループット、および使用中のより多くのスペースの組み合わせは、もはや当てはまりません。

たとえば、 Zmap は、そのフロントページで主張しています。

ZMapは、IPv4アドレス空間の完全スキャンを5分未満で実行でき、10ギガビットイーサネットの理論上の限界に近づきます。

ボットネットは、同様の結果を達成するために、同じ種類のスキャンを多数のノードに分散する傾向があります。インターネット上の特定のマシンは、特定の攻撃者/スキャナーによって少なくとも1日に1回スキャンされる可能性があります。

特定のIPでWebサーバーが識別されると、既知のパスをテストするためのあらゆる種類のツールと、サイトマップを推測して推測するツールがあります。

一言で言えば、インターネットへようこそ-あいまいさはセキュリティではありません。

App/services/widgetの設定のコンテキストでこれを考慮してください。おそらく、「秘密」にしたいことはおそらくありませんし、資産とリソースの防御が必要です。

118

ほぼすべてのIPが何年もの間継続的に調査されています。ドメイン名は必要ありません。通常のコンシューマDHCP IPアクセスで十分です。コンピューターでダミーのhttpサービスを実行すると、自動化された/ phpmyadminおよびそのようなプローブからのヒットが記録されます。あなたのサービスが答えとしてhttpコード200を与えるならば、いくつかの乱用の試みは続くかもしれません。

プローバーと攻撃者はボットネットを使用するため、使用されるIPは、ハッカーの自宅のアドレスからキッチンアプライアンスのIPまで、さまざまです。 IPのブロックは機能しなくなりました。リリース前にインターネットに何かを置きたい場合は、サイトへのアクセスに必要なアドレスwhitelistが必要になる場合があります。

注意:インターネットからサーバーへの直接SSHアクセスを許可しないでください。 SSHポートは常に同様の攻撃を受けています。 SSHサーバーとユーザー名「dave」、パスワード「letmein」がインターネットに開かれている場合、おそらくすぐにハッキングされるでしょう。

15
user134702

これは、インターネット上の単なるランダムスキャナーのようです。さまざまなIPアドレスを試したり、脆弱性を示す可能性のある特定のフォルダーやファイルを探したりするだけです。

14
Black Magic