In Zugriffslogs entdeckte Angriffsbeispiele

 (nishtahir.com)
1 Punkte von GN⁺ 2024-01-29 | 1 Kommentare | Auf WhatsApp teilen

Analyse der Zugriffslogs von Angreifern

  • Sobald eine IP im öffentlichen Internet exponiert wird, trifft sofort bösartiger Traffic ein.
  • Eine der häufigsten Angriffsarten ist ein Directory-Traversal-Angriff auf der Suche nach der Datei .env.
  • Angreifer suchen auch nach anderen häufigen Dateien wie AWS-Zugangsdaten und Konfigurationsdateien sowie Git-Repositories.
  • Es gibt auch Angriffe, die nach gängigen Verzeichnissen suchen, die Administratoren versehentlich offenlegen könnten.
  • Angreifer versuchen außerdem, gängige Remote-Zugriffs- und Konfigurationstools aufzuspüren.

Shellshock

  • Es wurden Angriffe entdeckt, die die Shellshock-Sicherheitslücke ausnutzen.
  • Diese Schwachstelle zielt auf Webserver ab, die CGI-Skripte mit anfälligen Versionen von bash ausführen.
  • Angreifer können durch das Einschleusen einer Funktion in die Umgebungsvariable HTTP_USER_AGENT beliebige Befehle ausführen.

LuCI Injection

  • Es wurden Angriffe entdeckt, die auf die LuCI-Weboberfläche von OpenWRT-Routern abzielen.
  • Der Angriff schleust einen Befehl ein, der ein auf einem entfernten Server gehostetes Shell-Skript herunterladen und ausführen soll.

Zyxel Injection

  • Es wurden Angriffe entdeckt, die offenbar eine auf Zyxel-Geräten nutzbare Schwachstelle ausnutzen.
  • Der Angriff verwendet zhttpd, um Shell-Befehle in die URL einzuschleusen.

GN⁺-Meinung:

  1. Dieser Artikel unterstreicht die Bedeutung von Sicherheit, indem er die Vielfalt und die Risiken von Cyberangriffen auf öffentlich erreichbare IPs zeigt.
  2. Er zeigt, dass alte Schwachstellen wie Shellshock immer noch ausgenutzt werden, und erinnert an die Bedeutung kontinuierlicher Updates und des Patchens von Sicherheitslücken.
  3. Dass Angreifer auf gängige Tools und Verzeichnisse zielen, unterstreicht, wie wichtig es ist, nur das Nötigste offenzulegen und bei Bedarf Authentifizierung und IP-Beschränkungen hinzuzufügen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-01-29
Hacker-News-Kommentare
  • Es ist interessant, dass Angreifer neu ausgestellte Zertifikate überwachen, um Ziele zu finden. Innerhalb weniger Stunden nach dem Erhalt eines Zertifikats von Let's Encrypt gab es Hunderte Zugriffsversuche auf den Server. Die Lehre daraus ist, dass neue Server so schnell wie möglich abgesichert werden müssen, bevor sie dem Internet ausgesetzt werden.
  • Früher habe ich beim Betrieb selbst gehosteter Websites die Access-Logs geprüft und mit einem IDS Angriffsversuche markiert. Inzwischen habe ich sowohl die Log-Prüfung als auch die Ausgaben für ein IDS eingestellt. Stattdessen ist es besser, nützliche Inhalte zu finden, die gängige Schwachstellen und Angriffe zusammenfassen, diese für die Serververwaltung zu nutzen und schnelle Patch-Zyklen zu priorisieren. Logs sind nach einem Vorfall für die Diagnose sehr nützlich.
  • Der Autor weist darauf hin, dass er kein Sicherheitsexperte ist, und merkt an, dass das erste Beispiel im Artikel keine Directory Traversal, sondern das Auffinden von Zugangsdaten und Konfigurationen ist. Directory Traversal bezeichnet eine Technik, bei der Angreifer den Web-Root verlassen oder den Server dazu bringen, Inhalte außerhalb der vorgesehenen Verzeichnisse auszuliefern.
  • Es ist wichtig, auf dem Server fail2ban auszuführen und benutzerdefinierte Jails hinzuzufügen, um Angriffe abzufangen, die speziell auf die von der Website angebotenen Funktionen abzielen. Es ist Zeit zu prüfen, ob die Standardkonfiguration von fail2ban noch wirksam ist.
  • Problematisch ist, dass viele Angriffe aus feindlich gesinnten Staaten kommen. Das ist zwar umstritten, aber es kann nützlich sein, IP-Bereiche von Staaten zu blockieren, mit denen man keine Geschäfte machen kann. Auf diese Weise konnte ich jede Erkundung neuer Dienste blockieren.
  • Beim Betrieb eines selbst entwickelten HTTP/S-Servers über etwa ein Jahr hinweg habe ich auf den offenen Ports (22, 80, 443) viel Angreifer-Traffic gesehen, hatte aber keine Zeit zu analysieren, was die Angreifer tatsächlich versuchen. Dieser Beitrag liefert viele Informationen.
  • Wenn man solche Logs bei AWS erhält, würde ich empfehlen, AWS WAF vor das VPC zu setzen, um sich selbst zu helfen. Das kostet nicht viel und kann viele Probleme verhindern.
  • Auf Basis mehrjähriger Erfahrung mit der Verwaltung von WAFs verschiedener Anbieter lautet der Rat, DNS zu Cloudflare umzuziehen und einige WAF-Regeln auf die Website anzuwenden, um das Problem in den Griff zu bekommen. Ein WAF ist jedoch kein Allheilmittel, daher muss die Anwendung selbst gegen Angriffe gehärtet werden.
  • Die häufigsten Angriffsversuche auf dem von mir verwalteten Webhost betreffen WordPress, aber der Autor hat das nicht erwähnt. Möglicherweise hostet der Autor WordPress-Inhalte und konnte deshalb legitimen Traffic und Angriffe nicht unterscheiden.
  • Statt des Begriffs „Directory Traversal“ ist „Directory Enumeration“ die korrekte Bezeichnung. Traversal bedeutet im Allgemeinen, den Web-Root mit Pfaden wie '.. / .. /' zu verlassen.