Casos de ataques encontrados em logs de acesso

 (nishtahir.com)
1 pontos por GN⁺ 2024-01-29 | 1 comentários | Compartilhar no WhatsApp

Análise dos logs de acesso dos invasores

  • Ao expor um IP à internet pública, tráfego malicioso passa a chegar imediatamente.
  • Um dos tipos de ataque mais frequentes é o ataque de travessia de diretórios em busca do arquivo .env.
  • Os invasores também procuram outros arquivos comuns, como credenciais e arquivos de configuração da AWS, repositórios Git e similares.
  • Também há ataques que procuram diretórios comuns que administradores podem expor por engano.
  • Os invasores também tentam localizar ferramentas comuns de acesso remoto e configuração.

Shellshock

  • Foram observados ataques que exploram a vulnerabilidade Shellshock.
  • Essa vulnerabilidade tem como alvo servidores web que executam scripts CGI usando versões vulneráveis do bash.
  • O invasor pode inserir uma função na variável de ambiente HTTP_USER_AGENT para executar comandos arbitrários.

LuCI Injection

  • Foram observados ataques direcionados à interface web LuCI de roteadores OpenWRT.
  • O ataque injeta comandos que tentam baixar e executar um script de shell hospedado em um servidor remoto.

Zyxel Injection

  • Foram observados ataques que parecem explorar vulnerabilidades disponíveis em dispositivos Zyxel.
  • O ataque usa o zhttpd para inserir comandos de shell na URL.

Opinião do GN⁺:

  1. Este artigo destaca a importância da segurança ao mostrar a variedade de ataques cibernéticos contra IPs públicos e os riscos envolvidos.
  2. Também mostra que vulnerabilidades antigas, como Shellshock, ainda continuam sendo exploradas, reforçando a importância de atualizar sistemas continuamente e aplicar correções de segurança.
  3. O fato de os invasores mirarem ferramentas e diretórios comuns reforça a importância de expor apenas os serviços mínimos necessários e, quando preciso, adicionar autenticação e restrições por IP.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-01-29
Comentários do Hacker News
  • É interessante que os atacantes monitorem certificados recém-emitidos para encontrar alvos. Em poucas horas após obter um certificado da Let's Encrypt, o servidor recebeu centenas de tentativas de acesso. A lição é que novos servidores devem ser protegidos o mais rápido possível antes de serem expostos à internet.
  • No passado, eu administrava sites com hospedagem própria, revisava logs de acesso e usava IDS para sinalizar tentativas de ataque. Mas parei de revisar logs e de pagar pelos custos do IDS. Em vez disso, é melhor encontrar conteúdo útil que resuma vulnerabilidades e ataques comuns para usar na administração do servidor, e priorizar ciclos rápidos de correção. Logs são muito úteis para diagnóstico depois que um problema acontece.
  • O autor afirma não ser especialista em segurança e aponta que o primeiro exemplo do artigo não é travessia de diretório, mas descoberta de credenciais e configuração. Travessia de diretório significa uma técnica em que o atacante sai da raiz web ou faz o servidor entregar algo fora dos diretórios normais.
  • É importante executar fail2ban no servidor e adicionar jails personalizadas para capturar ataques específicos das funcionalidades oferecidas pelo site. Já passou da hora de verificar se a configuração padrão do fail2ban ainda é eficaz.
  • É um problema que muitos ataques venham de Estados hostis. Embora seja controverso, bloquear faixas de IP de países com os quais não se pode fazer negócio pode ser útil. Com esse método, foi possível bloquear toda a varredura contra um novo serviço.
  • Ao operar por cerca de um ano um servidor HTTP/S projetado por conta própria, recebi muito tráfego de atacantes nas portas abertas (22, 80, 443), mas não tive tempo de analisar o que eles realmente tentavam fazer. Este texto traz muita informação.
  • Se você estiver recebendo esse tipo de log na AWS, recomendo colocar o AWS WAF na frente da VPC para ajudar a se proteger. Não custa tanto e pode evitar muitos problemas.
  • Com base na experiência de administrar WAFs de várias empresas ao longo de muitos anos, a recomendação é mover o DNS para a Cloudflare e aplicar algumas regras de WAF ao site para ajudar a resolver o problema. WAF não é cura para tudo, então a aplicação também precisa ser reforçada para resistir a ataques.
  • No webhost que administro, as tentativas de ataque mais comuns são relacionadas ao WordPress, mas o autor não mencionou isso. Talvez o autor hospede conteúdo WordPress e por isso não consiga distinguir entre tráfego legítimo e ataques.
  • Em vez do termo 'travessia de diretório', a expressão correta é 'enumeração de diretórios'. Travessia normalmente significa sair da raiz web usando caminhos como '.. / .. /'.