Ataque por admin vago

Debería existir una definición para esto :D porque me encontré con una especie de ataque básico, muy básico pero que creo que puede llegar a ser muy efectivo.

De pronto tenía muchos 404 de IPs que no eran precisamente de habla hispana, Vietnam, Tailandia, Indonesia, ya saben, esos IP que seguro estan usando bots para reventar tu sitio, lo que encontré en el referer lo hizo más interesante...

Vean una muestra de ejemplo:

https://fabio.com.ar/123456.tar.gz 
http://fabio.com.ar/123456.tar.gz
https://fabio.com.ar/2019.tar.gz
http://fabio.com.ar/2019.tar.gz
https://fabio.com.ar/host.tar.gz
https://fabio.com.ar/old.tar.gz
https://fabio.com.ar/bkp2018.tar.gz
https://fabio.com.ar/www2019.tar.gz
https://fabio.com.ar/www.tar.gz
https://fabio.com.ar/4.tar.gz
http://fabio.com.ar/4.tar.gz
https://fabio.com.ar/site2018.tar.gz
https://fabio.com.ar/1.tar.gz
https://fabio.com.ar/backup2018.tar.gz
https://fabio.com.ar/sql2016.tar.gz
https://fabio.com.ar/backupadm.tar.gz
https://fabio.com.ar/bd2017.tar.gz
https://fabio.com.ar/dbbackup.tar.gz
http://fabio.com.ar/1.tar.gz
https://fabio.com.ar/2017.tar.gz
https://fabio.com.ar/wp.tar.gz
http://fabio.com.ar/2017.tar.gz
https://fabio.com.ar/admin2018.tar.gz
https://fabio.com.ar/woo.tar.gz
https://fabio.com.ar/woocom.tar.gz
https://fabio.com.ar/woocommerce1.tar.gz
https://fabio.com.ar/woocommerce.tar.gz
https://fabio.com.ar/restore.tar.gz
https://fabio.com.ar/ftp.tar.gz
https://fabio.com.ar/files.tar.gz
https://fabio.com.ar/admins.tar.gz
https://fabio.com.ar/shop2019.tar.gz
https://fabio.com.ar/db2018.tar.gz
https://fabio.com.ar/opencart2018.tar.gz
https://fabio.com.ar/Admin.tar.gz
https://fabio.com.ar/livecom.tar.gz
https://fabio.com.ar/2017com.tar.gz
https://fabio.com.ar/backup2017%5basDomaincom%5d.tar.gz
https://fabio.com.ar/backup%5basDomaincom%5d2019.tar.gz
https://fabio.com.ar/%5basDomaincom%5d4.tar.gz
https://fabio.com.ar/backup18.zip
https://fabio.com.ar/scripts.zip
https://fabio.com.ar/magentobcup.zip

Había más, muchos más, pero el patrón es el mismo en todos los casos, estan buscando archivos con backups subidos directamente en el raíz del sitio, como haría un admin vago.

Así es señores! este es un ataque muy, muy, MUY sencillo pero así de efectivo porque sólo debe lidiar con si se encuentra o no el archivo, nada de hackear, nada de inyectar código, es mucho mejor buscar un backup.

¿Por qué?

Pues bien, si el backup tiene datos de conexión, por ejemplo el wp-config.php de un Wordpress, es fácil conectarse a la base de datos, está el server, el usuario y la contraseña en texto plano!

Con eso es fácil entrar a un phpmyadmin y tomar control total del sitio sin siquiera haberlo hackeado.

Muchos guardan los backups en una carpeta accesible por cualquiera desde una url creyendo que porque la url es desconocida nadie podría llegar a suponerla. Pero ese es el error.

La mejor forma es que el backup no esté accesible y podamos entrar a su carpeta ya sea con un password o por SFTP, pero no directamente escribiendo una simple url.

Estimo que estos orientales probaron alguna vez esto y les dio resultado, no lo harían si no fuese así, y me parece un recurso barato y fácil de implementar.

Si te gustó esta nota podés...
Invitame un café en cafecito.app


Otros posts que podrían llegar a gustarte...

Comentarios

  • Ariel     14/01/2020 - 14:12:51

    Yo les dejaria un archivo *.tar.gz lleno de imagenes de la chinada! :D

  • nan     14/01/2020 - 15:58:21

    ¡qué castigo! jaja. tiro la primeraidea que me viene a la cabeza que nadie implementaría por vagancia:
    poner un proxy antes del server http real y en ese proxy correr una serie de chequeos por ejemplos contra una whitelist de redes (ej. ips argentinas), si no está en la whitelist, lo dejamos pasar pero con un redirect/forward o le mostramos un captcha algo que lo ponga a laburar y no le rinda en un ataque masivo; seguro que le están pegando a tu URL de forma directa, sin tomarse la molestia de seguir redirecciones. Incluso se podría ir armando una blacklist dinámicamente, a medida que te van pidiendo archivos sospechosos vas banneando las redes de donde provienen, agregándolos a una blacklist, con esto último ya reducís la posibilidad de que le peguen a un backup por casualidad porque no pueden hacer intentos a mansalva.

    Abz suerte!

    • Fabio Baccaglioni     14/01/2020 - 16:55:35

      necesitaría un poco de ayuda de sysadmin :P porque tengo acceso de root pero tampoco se armar estas cosas, me encantaría.
      Ya el proxy existe porque todo es atajado por un NGinx antes de llegar al Apache, pero hay que configurarle que arme esa blacklist o, al menos, coleccione los referers de ataque

  • Hugo     14/01/2020 - 22:47:26

    Creo que conozco uno que hace (hacía) los backups y los guardaba en el raiz...

  • La maldición (the grudge) online     16/01/2020 - 11:59:48

    Jajajaja a muchos nos pasa con nuestros sitios web, el tema es ver como están haciendo los orientales con esto. Ya hoy en día no se necesita un Hacker para estas cosas.

  • matias     17/01/2020 - 14:29:43

    las busquedas con comodínes o index of a veces dan unos resultados re interesantes.

    mas de una vez miré peliculas o caps de los simpsons de algun ftp random :D

  • aqui_c     20/01/2020 - 15:25:30

    Quizás deberías poner un archivo disponible, pero con algo malicioso... Tipo muchas fotos de gatos ;-)

    P.S.: Un sysadmin muy vago, además, que guarda backups al lado de lo que está backupeando ;-)

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https

Negrita Cursiva Imagen Enlace


Comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador. Los comentarios son filtrados por ReCaptcha V3.