Exemples d’attaques repérées dans des logs d’accès

 (nishtahir.com)
1 points par GN⁺ 2024-01-29 | 1 commentaires | Partager sur WhatsApp

Analyse des logs d’accès des attaquants

  • Dès qu’une IP est exposée sur l’Internet public, du trafic malveillant arrive immédiatement.
  • L’un des types d’attaque les plus fréquents est une attaque de traversée de répertoires visant à trouver le fichier .env.
  • Les attaquants recherchent aussi d’autres fichiers courants, comme les identifiants et fichiers de configuration AWS, ainsi que des dépôts Git.
  • Il existe également des attaques qui cherchent des répertoires courants qu’un administrateur pourrait exposer par erreur.
  • Les attaquants essaient aussi de repérer des outils courants d’accès à distance et de configuration.

Shellshock

  • Des attaques exploitant la vulnérabilité Shellshock ont été observées.
  • Cette vulnérabilité cible les serveurs web qui exécutent des scripts CGI avec une version vulnérable de bash.
  • Un attaquant peut injecter une fonction dans la variable d’environnement HTTP_USER_AGENT afin d’exécuter des commandes arbitraires.

Injection LuCI

  • Des attaques visant l’interface web LuCI des routeurs OpenWRT ont été observées.
  • L’attaque injecte une commande qui tente de télécharger et d’exécuter un script shell hébergé sur un serveur distant.

Injection Zyxel

  • Des attaques qui semblent exploiter une vulnérabilité présente sur des appareils Zyxel ont été observées.
  • L’attaque utilise zhttpd pour injecter des commandes shell dans l’URL.

Avis de GN⁺ :

  1. Cet article souligne l’importance de la sécurité en montrant la diversité des cyberattaques visant les IP publiques et les risques qu’elles représentent.
  2. Il montre que d’anciennes vulnérabilités comme Shellshock sont toujours exploitées, rappelant l’importance de mettre à jour régulièrement les systèmes et d’appliquer les correctifs de sécurité.
  3. Le fait que les attaquants ciblent des outils et répertoires courants met en évidence l’importance de n’exposer que le strict minimum de services, et d’ajouter une authentification et des restrictions d’IP lorsque c’est nécessaire.

À lire aussi

1 commentaires

 
GN⁺ 2024-01-29
Avis Hacker News
  • Il est intéressant de voir que les attaquants surveillent les certificats nouvellement émis pour identifier des cibles. Quelques heures après avoir obtenu un certificat de Let's Encrypt, le serveur a subi des centaines de tentatives de connexion. La leçon est qu’un nouveau serveur doit être sécurisé le plus vite possible avant d’être exposé à Internet.
  • Par le passé, en gérant des sites auto-hébergés, je passais en revue les logs d’accès et j’utilisais un IDS pour signaler les tentatives d’attaque. Mais j’ai arrêté d’examiner les logs et de payer pour un IDS. À la place, il vaut mieux trouver du contenu utile résumant les vulnérabilités et attaques courantes pour l’appliquer à l’administration des serveurs, et privilégier un cycle de correctifs rapide. Les logs sont très utiles pour le diagnostic après incident.
  • L’auteur précise qu’il n’est pas expert en sécurité et souligne que le premier exemple de l’article n’est pas une traversée de répertoires, mais une découverte d’identifiants et de configuration. La traversée de répertoires désigne une technique où l’attaquant sort de la racine web ou pousse le serveur à servir des éléments en dehors des répertoires normaux.
  • Il est important d’exécuter fail2ban sur le serveur et d’ajouter des jails personnalisées pour intercepter les attaques spécifiques aux fonctionnalités proposées par le site. Il est temps de vérifier si la configuration par défaut de fail2ban reste efficace.
  • Le problème est que beaucoup d’attaques proviennent d’États hostiles. C’est discutable, mais bloquer les plages d’IP de pays avec lesquels on ne peut pas faire affaire peut être utile. Avec cette méthode, il a été possible de bloquer toute exploration d’un nouveau service.
  • Après avoir exploité pendant environ un an un serveur HTTP/S conçu maison, avec de nombreux flux malveillants sur les ports ouverts (22, 80, 443), je n’avais pas eu le temps d’analyser ce que les attaquants essayaient réellement de faire. Cet article apporte beaucoup d’informations.
  • Si vous recevez ce type de logs sur AWS, il est recommandé de déployer AWS WAF devant le VPC pour vous aider. Cela ne coûte pas très cher et peut éviter beaucoup de problèmes.
  • Fort de plusieurs années passées à gérer des WAF de différents fournisseurs en entreprise, il conseille de migrer le DNS vers Cloudflare et d’appliquer quelques règles WAF au site pour aider à résoudre le problème. Un WAF n’est pas une solution miracle, donc l’application doit aussi être durcie contre les attaques.
  • Sur les hébergements web que je gère, les tentatives d’attaque les plus fréquentes concernent WordPress, mais l’auteur n’en parle pas. Il est possible qu’il héberge du contenu WordPress et n’ait donc pas pu distinguer le trafic légitime des attaques.
  • Au lieu du terme « traversée de répertoires », l’expression correcte est « énumération de répertoires ». La traversée désigne généralement le fait de sortir de la racine web avec des chemins comme .. / .. /."}