ตัวอย่างการโจมตีที่พบในบันทึกการเข้าถึง

 (nishtahir.com)
1 คะแนน โดย GN⁺ 2024-01-29 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

การวิเคราะห์บันทึกการเข้าถึงของผู้โจมตี

  • เมื่อเปิดเผย IP สู่สาธารณะบนอินเทอร์เน็ต ทราฟฟิกที่เป็นอันตรายจะไหลเข้ามาทันที
  • รูปแบบการโจมตีที่พบบ่อยอย่างหนึ่งคือการโจมตีแบบ directory traversal เพื่อค้นหาไฟล์ .env
  • ผู้โจมตียังค้นหาไฟล์ทั่วไปอื่น ๆ เช่น ข้อมูลรับรองและไฟล์ตั้งค่า AWS, Git repository เป็นต้น
  • ยังมีการโจมตีที่มองหาไดเรกทอรีทั่วไปซึ่งผู้ดูแลระบบอาจเผลอเปิดเผยไว้
  • ผู้โจมตียังพยายามค้นหาเครื่องมือสำหรับการเข้าถึงระยะไกลและการตั้งค่าที่ใช้กันทั่วไปด้วย

Shellshock

  • พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ Shellshock
  • ช่องโหว่นี้มุ่งเป้าไปที่เว็บเซิร์ฟเวอร์ที่รัน CGI script โดยใช้ bash เวอร์ชันที่มีช่องโหว่
  • ผู้โจมตีสามารถแทรกฟังก์ชันลงในตัวแปรสภาพแวดล้อม HTTP_USER_AGENT เพื่อรันคำสั่งใด ๆ ก็ได้

LuCI Injection

  • พบการโจมตีที่มุ่งเป้าไปยัง LuCI web interface ของเราเตอร์ OpenWRT
  • การโจมตีนี้ฉีดคำสั่งเพื่อดาวน์โหลดและรันเชลล์สคริปต์ที่โฮสต์อยู่บนเซิร์ฟเวอร์ระยะไกล

Zyxel Injection

  • พบการโจมตีที่ดูเหมือนจะใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในอุปกรณ์ Zyxel
  • การโจมตีนี้ใช้ zhttpd เพื่อแทรกคำสั่งเชลล์ลงใน URL

ความเห็นของ GN⁺:

  1. บทความนี้แสดงให้เห็นถึงความหลากหลายของการโจมตีทางไซเบอร์ต่อ IP ที่เปิดสู่สาธารณะและความเสี่ยงที่ตามมา จึงตอกย้ำความสำคัญของความปลอดภัย
  2. มันแสดงให้เห็นว่าช่องโหว่เก่าอย่าง Shellshock ยังคงถูกนำมาใช้ และเตือนถึงความสำคัญของการอัปเดตระบบและแพตช์ช่องโหว่อย่างต่อเนื่อง
  3. การที่ผู้โจมตีมุ่งเป้าไปที่เครื่องมือและไดเรกทอรีทั่วไป เน้นย้ำถึงความสำคัญของการเปิดเผยเฉพาะบริการที่จำเป็นเท่านั้น และเพิ่มการยืนยันตัวตนกับการจำกัด IP เมื่อจำเป็น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-01-29
ความคิดเห็นจาก Hacker News
  • น่าสนใจที่ผู้โจมตีคอยเฝ้าดูใบรับรองที่ออกใหม่เพื่อหาเป้าหมาย หลังจากได้รับใบรับรองจาก Let's Encrypt ภายในไม่กี่ชั่วโมงก็มีความพยายามเข้าถึงเซิร์ฟเวอร์หลายร้อยครั้ง บทเรียนคือควรเสริมความปลอดภัยให้แน่นหนาโดยเร็วที่สุดก่อนที่เซิร์ฟเวอร์ใหม่จะถูกเปิดเผยสู่อินเทอร์เน็ต
  • ในอดีตเคยดูแลเว็บไซต์ที่โฮสต์เอง ตรวจสอบ access log และใช้ IDS เพื่อทำเครื่องหมายความพยายามโจมตี แต่ภายหลังก็เลิกทั้งการตรวจสอบล็อกและการจ่ายค่าใช้จ่ายของ IDS ทางที่ดีกว่าคือหาคอนเทนต์ที่มีประโยชน์ซึ่งสรุปช่องโหว่และการโจมตีทั่วไปเพื่อนำมาใช้ในการดูแลเซิร์ฟเวอร์ และให้ความสำคัญกับรอบการแพตช์ที่รวดเร็ว ล็อกยังมีประโยชน์มากในการวินิจฉัยหลังเกิดปัญหา
  • ผู้เขียนระบุว่าไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัย และชี้ว่าตัวอย่างแรกในบทความไม่ใช่ directory traversal แต่เป็นการค้นหาข้อมูลรับรองและการตั้งค่า directory traversal หมายถึงเทคนิคที่ผู้โจมตีพยายามออกนอก web root หรือทำให้เซิร์ฟเวอร์ส่งข้อมูลจากภายนอกไดเรกทอรีปกติ
  • การรัน fail2ban บนเซิร์ฟเวอร์และเพิ่ม jail แบบกำหนดเองเพื่อจับการโจมตีที่เจาะจงกับฟังก์ชันที่เว็บไซต์ให้บริการเป็นสิ่งสำคัญ ถึงเวลาแล้วที่จะตรวจสอบว่าการตั้งค่าเริ่มต้นของ fail2ban ยังมีประสิทธิภาพอยู่หรือไม่
  • ปัญหาคือการโจมตีจำนวนมากมาจากรัฐที่เป็นปฏิปักษ์ แม้จะเป็นประเด็นถกเถียง แต่การบล็อกช่วง IP ของประเทศที่ไม่สามารถทำธุรกิจด้วยได้อาจมีประโยชน์ วิธีนี้สามารถบล็อกการสแกนหา service ใหม่ทั้งหมดได้
  • ระหว่างที่รันเซิร์ฟเวอร์ HTTP/S ที่ออกแบบเองอยู่ราว 1 ปี ก็ได้รับทราฟฟิกจากผู้โจมตีจำนวนมากบนพอร์ตที่เปิดอยู่ (22, 80, 443) แต่ไม่มีเวลาวิเคราะห์ว่าพวกเขาพยายามทำอะไรจริง ๆ บทความนี้ให้ข้อมูลจำนวนมาก
  • ถ้าคุณได้รับล็อกลักษณะนี้บน AWS ขอแนะนำให้วาง AWS WAF ไว้หน้า VPC เพื่อช่วยป้องกันตัวเอง ค่าใช้จ่ายไม่สูงมากและป้องกันปัญหาได้เยอะ
  • จากประสบการณ์ที่ดูแล WAF ของหลายบริษัทมาหลายปี ขอแนะนำว่าย้าย DNS ไปที่ Cloudflare และใช้กฎ WAF บางอย่างกับเว็บไซต์น่าจะช่วยแก้ปัญหาได้ WAF ไม่ใช่ยาครอบจักรวาล ดังนั้นแอปพลิเคชันยังต้องถูกทำให้แข็งแกร่งเพื่อรับมือการโจมตี
  • บนเว็บโฮสต์ที่ดูแลอยู่ ความพยายามโจมตีที่พบบ่อยที่สุดเกี่ยวข้องกับ WordPress แต่ผู้เขียนไม่ได้กล่าวถึงเรื่องนี้ เป็นไปได้ว่าผู้เขียนโฮสต์คอนเทนต์ WordPress อยู่ จึงอาจแยกไม่ออกระหว่างทราฟฟิกปกติกับการโจมตี
  • แทนที่จะใช้คำว่า 'directory traversal' คำที่ถูกต้องคือ 'directory enumeration' โดยทั่วไป traversal หมายถึงการออกนอก web root ด้วยพาธอย่าง '.. / .. /'