एक्सेस लॉग में मिले हमलों के उदाहरण

 (nishtahir.com)
1 पॉइंट द्वारा GN⁺ 2024-01-29 | 1 टिप्पणियां | WhatsApp पर शेयर करें

हमलावरों के एक्सेस लॉग का विश्लेषण

  • यदि किसी IP को सार्वजनिक इंटरनेट पर उजागर किया जाए, तो दुर्भावनापूर्ण ट्रैफ़िक तुरंत आने लगता है.
  • अक्सर दिखने वाले हमलों में से एक .env फ़ाइल खोजने वाला directory traversal हमला है.
  • हमलावर AWS credentials और configuration files, Git repository जैसी अन्य आम फ़ाइलें भी खोजते हैं.
  • ऐसे हमले भी होते हैं जो उन सामान्य directories को ढूंढते हैं जिन्हें admin गलती से उजागर कर सकता है.
  • हमलावर आम remote access और configuration tools को खोजने की भी कोशिश करते हैं.

Shellshock

  • Shellshock भेद्यता का फायदा उठाने वाले हमले देखे गए.
  • यह भेद्यता उन web servers को निशाना बनाती है जो bash के vulnerable version का उपयोग करके CGI scripts चलाते हैं.
  • हमलावर HTTP_USER_AGENT environment variable में function inject करके मनमाने commands चला सकते हैं.

LuCI Injection

  • OpenWRT routers के LuCI web interface को निशाना बनाने वाले हमले देखे गए.
  • यह हमला remote server पर host की गई shell script को download करके चलाने की कोशिश करने वाले command को inject करता है.

Zyxel Injection

  • Zyxel devices में उपलब्ध भेद्यता का फायदा उठाते हुए दिखाई देने वाले हमले देखे गए.
  • हमले में zhttpd का उपयोग कर URL में shell command inject की जाती है.

GN⁺ की राय:

  1. यह लेख सार्वजनिक IP पर होने वाले cyber attacks की विविधता और उनके जोखिम को दिखाकर security के महत्व पर ज़ोर देता है.
  2. यह दिखाता है कि Shellshock जैसी पुरानी भेद्यताएँ अब भी इस्तेमाल हो रही हैं, और systems को लगातार update करने तथा vulnerabilities patch करने के महत्व की याद दिलाता है.
  3. हमलावर आम tools और directories को निशाना बनाते हैं, यह इस बात पर ज़ोर देता है कि केवल न्यूनतम services ही public रखी जाएँ, और ज़रूरत होने पर authentication तथा IP restrictions जोड़े जाएँ.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-01-29
Hacker News की राय
  • यह दिलचस्प है कि हमलावर नए जारी किए गए certificates पर नज़र रखकर अपने लक्ष्य ढूँढते हैं। Let's Encrypt से certificate मिलने के कुछ ही घंटों के भीतर सर्वर पर सैकड़ों connection attempts हुए। इससे यह सीख मिलती है कि नए सर्वर को इंटरनेट पर expose करने से पहले जितनी जल्दी हो सके उतना secure करना चाहिए।
  • पहले, self-hosted साइट्स को मैनेज करते समय access logs की समीक्षा की जाती थी और attack attempts को flag करने के लिए IDS का उपयोग किया जाता था। लेकिन बाद में log review और IDS की लागत चुकाना बंद कर दिया गया। इसके बजाय, सामान्य vulnerabilities और attacks का सार बताने वाला उपयोगी content ढूँढकर उसे server management में इस्तेमाल करना, और तेज patch cycle को प्राथमिकता देना बेहतर है। logs समस्या होने के बाद diagnosis के लिए बहुत उपयोगी होते हैं।
  • लेखक ने यह स्पष्ट किया कि वह security expert नहीं है, और यह भी बताया कि लेख का पहला उदाहरण directory traversal नहीं बल्कि credential और configuration discovery है। directory traversal उस तकनीक को कहते हैं जिसमें हमलावर web root से बाहर निकलते हैं या सर्वर को सामान्य directories के बाहर की चीज़ें serve करने पर मजबूर करते हैं।
  • सर्वर पर fail2ban चलाना और साइट की उपलब्ध सुविधाओं पर केंद्रित attacks को पकड़ने के लिए custom jails जोड़ना महत्वपूर्ण है। यह जाँचने का समय आ गया है कि fail2ban की default settings अब भी प्रभावी हैं या नहीं।
  • समस्या यह है कि कई हमले शत्रुतापूर्ण देशों से आते हैं। यह विवादास्पद हो सकता है, लेकिन जिन देशों के साथ लेन-देन नहीं किया जा सकता, उनके IP ranges को block करना उपयोगी हो सकता है। इस तरीके से नई सेवाओं के खिलाफ होने वाली सारी probing को रोका जा सका।
  • लगभग एक साल तक खुद डिज़ाइन किए गए HTTP/S सर्वर को चलाते हुए, खुले ports (22, 80, 443) पर काफी attacker traffic मिला, लेकिन हमलावर वास्तव में क्या करने की कोशिश कर रहे थे, इसका विश्लेषण करने का समय नहीं था। यह लेख बहुत सी जानकारी देता है।
  • अगर AWS पर ऐसे logs मिल रहे हैं, तो AWS WAF को VPC के आगे लगाकर खुद की मदद करने की सलाह दी जाती है। इसकी लागत बहुत ज़्यादा नहीं होती और यह कई समस्याओं को पहले ही रोक सकता है।
  • कई वर्षों तक विभिन्न कंपनियों के WAF को मैनेज करने के अनुभव के आधार पर सलाह है कि DNS को Cloudflare पर ले जाएँ और साइट पर कुछ WAF rules लागू करें; इससे समस्या सुलझाने में मदद मिल सकती है। WAF कोई रामबाण नहीं है, इसलिए application को भी हमलों के खिलाफ मजबूत किया जाना चाहिए।
  • जिन web hosts को मैनेज किया गया है, उनमें सबसे आम attack attempts WordPress से जुड़े होते हैं, लेकिन लेखक ने इसका ज़िक्र नहीं किया। शायद लेखक WordPress content host कर रहा था, इसलिए वह सामान्य traffic और attacks में फर्क नहीं कर पाया।
  • 'directory traversal' के बजाय 'directory enumeration' शब्द अधिक सही है। traversal आम तौर पर '.. / .. /' जैसे paths का उपयोग करके web root से बाहर निकलने को दर्शाता है।