Los Bots vienen marchando



El otro día miré una vez más las estadísticas detalladas de LinksDV.com y recordé que quería escribir una nota sobre los bots que se la pasan buscando vulnerabilidades en nuestros servidores.

Con el tiempo se establecen estándares, por ejemplo todos usan Wordpress, Joomla o parecidos para hacer sitios web con contenido, de miles de CMS disponibles apenas una fracción se lleva la mayor parte de los sitios web. Lo mismo pasa con el software para administrar un servidor como el caso de PHPMyAdmin.

Pero con la estandarización se acota la oferta y por ende al tener pocos sistemas es más fácil concentrar los ataques, esto le pasa a casi todos los servidores, son blanco fácil de los scriptkiddies o de hackers más profesionales buscando algún rédito y la gran mayoría de los sitios web no pueden resistir ataques. Es que no somos expertos en seguridad tampoco, aquí les comento los ataques más comunes que recibo por parte de bots buscando huecos donde entrar...



Intentos de hackeo más comunes en LinksDV.com

/www/delivery/ajs.php
/wp-login.php
/admin.php
/administrator/index.php
/cgi-bin/php
/register.php
/signup.php
/cgi-bin/php4
/join.php
/cgi-bin/php-cgi
/cgi-bin/php.cgi
/cgi-bin/php5
/base/captcha/index/
/pma/scripts/setup.php
/myadmin/scripts/setup.php
/eyeblaster/addineyeV2.html
/phpMyAdmin/scripts/setup.php
/doubleclick/DARTIframe.html
/MyAdmin/scripts/setup.php
//phpmyadmin1/scripts/setup.php
//phpMyAdmin-2/scripts/setup.php
//dbadmin/scripts/setup.php
//scripts/setup.php
//phpadmin/scripts/setup.php
//phpmyadmin2/scripts/setup.php
//xampp/phpmyadmin/scripts/setup.php
/phpmyadmin/scripts/setup.php
//db/scripts/setup.php
//admin/phpmyadmin/scripts/setup.php
//mysql/scripts/setup.php
//admin/pma/scripts/setup.php
//MyAdmin/scripts/setup.php
//pma/scripts/setup.php
//phpmyadmin/scripts/setup.php
//mysqladmin/scripts/setup.php
//myadmin/scripts/setup.php
//web/scripts/setup.php
//websql/scripts/setup.php
//typo3/phpmyadmin/scripts/setup.php
/phpMyAdmin/scripts/setup.php
//admin/scripts/setup.php
/ajax/entstream/embed
//php-my-admin/scripts/setup.php
//phpMyAdmin-2.5.5-pl1/index.php
/doubleclick/adx_iframe.html
/flashtalking/ftlocal.html
/core/install/upgrade.php
//phpMyAdmin-2.5.5/index.php
/ajax/intl/language_dialog.php
//web/phpMyAdmin/scripts/setup.php
/webdav/
/install/upgrade.php
/CreateUser.asp


Analicemos un poco el detalle y el porqué atacan estas urls

  • La mayoría busca scripts de instalación (setup.php) porque es uno de los lugares donde nadie hace un chequeo de ataque masivo, es decir, en la parte donde se ingresa usuario-password para verificar la configuración de un setup nadie usa una norma de tres strikes, se permiten indefinidos intentos. De esta manera se puede aprovechar un ataque de fuerza bruta
  • Una gran cantidad ataca directamente PHPMyAdmin, y es obvio, por la misma razón, el administrador de MySQL es fácil de vulnerar y realizar ataques de fuerza bruta, si está "entregado" y el nombre del directorio es exactamente el mismo de la instalación base, estamos jodidos. Ojo, es bastante fácil cambiarle el nombre, pero muchos no lo hacen/hacemos y dejamos ese hueco abierto
  • Carpetas como cgi-bin donde se puedan ejecutar, vía vulnerabilidades conocidas, scripts externos como si fuesen parte del servidor y así acceder al control del mismo, nótese que en el TOP 10 está PHP4, se busca colar servidores "viejos" desactualizados que son los más fáciles de conseguir.
  • WP-Login, obviamente Wordpress es objetivo clarísimo de muchos bots, es tan fácil infectar un wordpress viejo porque, al ser popular, los script kiddies consiguen más fácilmente código para vulnerarlo, ahora bien, el código de WP es tan grande y obtuso que es difícil de encontrar inyecciones de código a veces.
  • Gracioso fue encontrar un /CreateUser.asp no se, me provocó ternura pero es interesante saber que todavía hay bots buscando servidores IIS de Microsoft y atacando el viejo ASP.
  • Algunos bots atacan servicios de adserving, interesante ese vector de ataque, no lo tenía en cuenta pero es verdad, es un hueco que pocos llegan a ver y nadie le presta mucha atención. Si se vulnera el adserver podrían cambiar nuestros anuncios por los propios y robarnos ingresos potenciales, o, en el peor de los casos, vulnerar a nuestros lectores.


Al menos unas 1200 urls erróneas intentaron ejecutarse en el servidor, de estas un 20% serían errores 404 reales de urls mal cargadas por usuarios en los comentarios y que un spider de un buscador quiso levantar, el 80% restante eran bots de hacking tratando de encontrar vulnerabiliades clásicas y fáciles de identificar.

¿De qué sirve? sencillo, armar una lista con aquellos que SI tienen un vector de ataque liberado y luego concentrar los ataques solamente en ellos.

Esto que ven le pasa a TODOS los servidores en la red, nadie se escapa, por ende se puede minimizar mucho el riesgo aunque nunca se está a salvo, por ejemplo, de los pelotudos. Como el otro día que un forrazo denunció en adsense unos anuncios en este blog porque... ¡uso un Adserver! si, el tipo, en su plena ignorancia, no conoce de qué se trata ni para que sirven y me acusó de hacer trampa.

Con un boludo semejante Google le da bola, eso sí, vos denunciás un sitio por maltrato de gente o difamación y a esos los dejan seguir como si nada :P

Pero en fin, si te hackean y tenías alguno de estos lugares abiertos, más cuidado, se que nadie es perfecto y muchas veces dejamos scripts subidos al servidor que nos olvidamos allí, cada cachito de código de más es un riesgo extra y nadie está libre de ello.

Por otra parte nos da la pauta de por donde nos estan buscando y cómo te podés sacar a la mayor parte de los bots de encima. Un encare más agresivo de este tema es tomar todas las IPs de las búsquedas más comunes y bloquearlas. No es que sirva de mucho, porque seguro que caen en la volteada IPs dinámicas, pero podemos circunscribilo a reglas básicas ¿Es de China? okey, block y listo. No tengo lectores chinos y no me molestaría perderlos :D

La mayoría del reviente de sitios proviene de China, luego siguen Rusia y Turquía y luego IPs de todo el mundo "robadas" con troyanos que las usan como máquinas bobas, por eso no recomendaría bloquear IPs a lo pavote o nos quedamos sin tráfico. Pero al menos lo que provene de esos tres países y tocó alguna carpeta inexistente... es lógico bloquearlo y minimizar los riesgos. El que quiera programar un script para ello, bienvenido Guiño

Si te gustó esta nota podés...
Invitame un café en cafecito.app


Otros posts que podrían llegar a gustarte...
Respondemos a

Comentarios

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador. Los comentarios son filtrados por ReCaptcha V3.