La mode dans les attaques WEB

Soumis par drupal_admin le sam 01/02/2020 - 18:41

Les attaques de serveurs WEB.
Les nouveautés :
Juin 2020 : La dernière attaque "à la mode " :
GET /?q=user
Je ne sais pas encore à quoi est liée cette attaque ... mais j'en ai récupéré plus de 20 sur une seule journée !
Encore beaucoup de "2 accès de longueur 14 et 4 sans aucun header".

Attaques "TYPE" :
Il existe une multitude d'attaques sur les sites Web depuis tous les "hits" sur /phpmyadmin, /myadmin, /pma/...... /wp-login
d'autres sont plus ciblées, par exemple /HNAP1 orientée vers certains routeurs ...
Mais il existe des modes, diffusion d'un nouveau script de recherche de vulnérabilités en général, on voit de telles attaques pendant des périodes plus ou moins longues et elles peuvent représenter un volume très important, les dernières en date concernent deux Url spécifiques :

  • .env
  • /.git/HEAD
  • Une nouvelle lubie (?) les URL commençant par "//", je ne sais pas ce que c'est censé faire, mais sur un serveur Apache les "//" sont convertis en "/" pour l'accès ce qui ne change donc rien.

".env" déjà rencontré quelques fois sur une longue période présente ces trois derniers jours une quantité plus de 10 fois supérieure aux autres attaques.
Il semble que ".env" soit utilisé par certains sites pour stocker des paramètres tels que les accès à la base de données ... si ces fichiers sont accessibles c'est la porte ouverte pour accéder aux données des utilisateurs ... et/ou pirater le site.
J'ai aussi vu des sites avec un suivi de version assuré par un gestionnaire de version, l'accès à HEAD doit pouvoir révéler des choses intéressantes sur le site.
Dans la plupart des cas il s'agit d'un non-respect des bonnes pratiques car ce type de fichier ne doit pas être "visible de l'extérieur" car contenant des données qui peuvent être sensibles : accès à la base, mot de passe administrateur ....

Liste d'URL d'attaques courantes :

  • /CHANGELOG.txt  pour déterminer les logiciels et versions utilisés
  • /jmx-console   pour ceux qui laissent une console java accessible sur internet, c'est une invitation aux tentatives de brute-force
  • /myadmin et variantes phpmyadmin ... PhPMyadmin ... php-my-admin ... /pma
  • /db et variantes /dbadmin ... /admin
  • sans oublier /wp-admin et /wp-login
  • ni non plus les url contenant ../../../ pour essayer de "remonter" dans l'arborescence des fichiers du serveur et, par exemple d'accéder au Graal : le fichier /etc/passwd sur une machine Unix/Linux
  • Assez récemment on a vu apparaître la mode du // en début d'URL, je n'ai trouvé aucune information sur cette particularité.

J'arrête ici cette liste qui pourrait être longue ... mais qui dans beaucoup de cas cherche à exploiter des "erreurs" de configuration ou des imprudences telles que des couples user/mot de passe faibles voire très faibles ou a des valeurs par défaut, qui n'a jamais vu des accès administrateur "protégés" par admin/admin.
Une autre "attaque" mais je n'ai pas réussi à trouver à quel vulnérabilité/logiciel elle était destinée, c'est la réception de deux paquets HTTP sans signification particulière, le premier avec un contenu de 14 octets, le second de 4 octets. Quel esprit vicieux a pu inventer pareil scénario. J'an ai vu passer des dizaines en une semaine, puis, après une accalmie, c'est reparti.