Erişim günlüklerinde bulunan saldırı örnekleri

 (nishtahir.com)
1 puan yazan GN⁺ 2024-01-29 | 1 yorum | WhatsApp'ta paylaş

Saldırganın erişim günlüğü analizi

  • Bir IP’yi açık internete maruz bırakırsanız, kötü amaçlı trafik hemen gelmeye başlar.
  • Sık görülen saldırı türlerinden biri, .env dosyasını arayan bir dizin dolaşma saldırısıdır.
  • Saldırganlar ayrıca AWS kimlik bilgileri ve yapılandırma dosyaları, Git depoları gibi yaygın diğer dosyaları da arar.
  • Yöneticilerin yanlışlıkla açığa çıkarabileceği yaygın dizinleri arayan saldırılar da vardır.
  • Saldırganlar ayrıca yaygın uzak erişim ve yapılandırma araçlarını bulmaya çalışır.

Shellshock

  • Shellshock güvenlik açığını kullanan saldırılar tespit edildi.
  • Bu açık, CGI betiklerini çalıştırmak için savunmasız bash sürümlerini kullanan web sunucularını hedef alır.
  • Saldırgan, HTTP_USER_AGENT ortam değişkenine bir fonksiyon enjekte ederek rastgele komutlar çalıştırabilir.

LuCI Injection

  • OpenWRT yönlendiricilerinin LuCI web arayüzünü hedef alan saldırılar tespit edildi.
  • Saldırı, uzak bir sunucuda barındırılan bir shell betiğini indirip çalıştırmaya yönelik komut enjekte eder.

Zyxel Injection

  • Zyxel cihazlardaki erişilebilir bir güvenlik açığını kullandığı anlaşılan saldırılar tespit edildi.
  • Saldırı, zhttpd kullanarak shell komutlarını URL’ye enjekte eder.

GN⁺ görüşü:

  1. Bu yazı, açık IP’lere yönelik siber saldırıların çeşitliliğini ve risklerini göstererek güvenliğin önemini vurguluyor.
  2. Shellshock gibi eski güvenlik açıklarının hâlâ kullanıldığını göstererek sistemlerin sürekli güncellenmesi ve açıkların yamalanmasının önemini hatırlatıyor.
  3. Saldırganların yaygın araçları ve dizinleri hedef alması, yalnızca asgari düzeyde hizmeti dışa açmanın ve gerektiğinde kimlik doğrulama ile IP kısıtlamaları eklemenin önemini ortaya koyuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-01-29
Hacker News görüşleri
  • Saldırganların hedef bulmak için yeni düzenlenen sertifikaları izlemesi ilginç. Let's Encrypt'ten sertifika aldıktan sonraki birkaç saat içinde sunucuya yüzlerce erişim denemesi geldi. Buradan çıkarılacak ders, yeni sunucuların internete açılmadan önce mümkün olduğunca hızlı şekilde güvenliğinin sıkılaştırılması gerektiğidir.
  • Geçmişte kendi barındırdığı siteleri yönetirken erişim loglarını inceler ve saldırı girişimlerini işaretlemek için IDS kullanırdı. Ancak log incelemeyi ve IDS için ödeme yapmayı bıraktı. Bunun yerine, yaygın açıkları ve saldırıları özetleyen faydalı içerikler bulup bunları sunucu yönetiminde kullanmak ve hızlı yama döngüsüne öncelik vermek daha iyi. Loglar, bir sorun yaşandıktan sonra teşhis için çok faydalıdır.
  • Yazar, güvenlik uzmanı olmadığını belirtirken makaledeki ilk örneğin dizin geçişi değil, kimlik bilgisi ve yapılandırma keşfi olduğuna dikkat çekiyor. Dizin geçişi, saldırganın web root'un dışına çıkmasına veya sunucunun normal dizinlerin dışındaki içerikleri sunmasına yol açan tekniği ifade eder.
  • Sunucuda fail2ban çalıştırmak ve sitede sunulan işlevlere özgü saldırıları yakalamak için özel jail'ler eklemek önemlidir. fail2ban'in varsayılan ayarlarının hâlâ etkili olup olmadığını kontrol etmenin zamanı gelmiş olabilir.
  • Pek çok saldırının düşmanca devletlerden gelmesi sorun yaratıyor. Tartışmalı olsa da, iş yapılmayacak ülkelerin IP aralıklarını engellemek faydalı olabilir. Bu yöntemle yeni bir hizmete yönelik tüm keşif taramalarını engelleyebilmişti.
  • Yaklaşık 1 yıl boyunca kendi tasarladığı bir HTTP/S sunucusunu çalıştırırken açık portlarda (22, 80, 443) çok fazla saldırgan trafiği aldı, ancak saldırganların gerçekte ne denediğini analiz edecek zamanı olmadı. Bu yazı çok bilgi veriyor.
  • AWS'de bu tür logları alıyorsanız, AWS WAF'ı VPC'nin önüne koyarak kendinize yardımcı olmanız önerilir. Çok pahalı değildir ve pek çok sorunu önleyebilir.
  • Yıllar boyunca çeşitli şirketlerin WAF'larını yönetmiş biri olarak, DNS'i Cloudflare'a taşımayı ve siteye birkaç WAF kuralı uygulamayı öneriyor; bunun sorunları çözmeye yardımcı olacağını söylüyor. WAF her derde deva değildir, bu yüzden uygulama da saldırılara karşı güçlendirilmiş olmalıdır.
  • Yönettiği web hostta en yaygın saldırı girişimleri WordPress ile ilgili, ancak yazar buna değinmemiş. Muhtemelen yazar WordPress içeriği barındırıyor ve bu yüzden normal trafikle saldırıları ayırt edememiş olabilir.
  • 'Dizin geçişi' yerine doğru terim 'dizin numaralandırması'dır. Geçiş genellikle '.. / .. /' gibi yollar kullanarak web root'un dışına çıkmayı ifade eder.