Forçar brute de subdomínio incremental?

2

Atualmente cuidando de um pequeno grupo de servidores web de verniz / nginx sentado atrás de um AWS ELB.

O monitoramento do domínio principal detectou recentemente um grande número de acessos a endereços de subdomínios inexistentes.

Em uma inspeção mais aprofundada dos logs de verniz, foi revelado um punhado de agentes python em execução do IP tentando incrementar subdomínios de força bruta sem uma lista de palavras.

Atm não ultrapassou 4 caracteres, por exemplo. aaaa.primarydomain.com e para cima. Está atualmente em fau9.primarydomain.com

A velocidade e a veiculação dos 404's criavam um incômodo menor, de modo que a detecção após um determinado limite e bloqueio era configurada, além de entrar em contato com os departamentos de abuso. Até agora, cerca de 10 IPs, todos via btcentralplus.com, chegaram e foram bloqueados. Parece estar vindo de uma botnet amadora e as sondas nos IPs revelaram o que é consistente com redes domésticas e de pequenas empresas no Reino Unido.

Mais importante ainda é o motivo, estou perplexo quanto ao ponto de tal ataque. Para os iniciantes, não há literalmente nada a ganhar com isso e, mesmo se houvesse obviamente, tentar forçar brutalmente uma lista de domínios incrementalmente parece além de estúpido? Não que isso seja um impedimento absoluto.

As únicas sugestões que surgem são as de script-kiddy, um verme estranho tentando descobrir o que ou algum tipo de geração de tráfego falsa? btcentralplus sendo a única variável comum, parece ser quase inútil para lidar com reclamações de abuso. Se eles estivessem tentando extrair sua entrada de DNS reverso nos logs do servidor da Web que poderiam ser expostos por exemplo? Mas ainda assim, parece bizarro.

    
por geniestacks 06.01.2015 / 07:14

1 resposta

0

Eles estão fazendo uma coleta de informações muito simples. Procurando por qualquer subdomínio interessante que você possa ter que esteja aberto para jogar ou que possa fornecer informações que ajudariam a direcionar seu site principal.

Por essa razão, geralmente é uma boa idéia colocar sudomains internos ou privados atrás de um firewall ou VPN para que eles não possam ser acessados externamente e / ou colocá-los em um TLD separado para que um scanner casual não os encontre e associá-los ao seu domínio / empresa.

Por exemplo; Em vez de usar git.example.com, você pode usar git.example.net ou git.example-int.com. Esta é apenas a segurança básica por obscuridade como uma primeira camada, mas reduz as varreduras simples como esta.

Se for um ELB novo ou em escala recente, é possível que ele não tenha procurado examiná-lo e tenha como alvo outra pessoa, mas tenha armazenado em cache a entrada do DNS. Você teria acabado de ter herdado o IP que eles armazenaram em cache.

    
por 10.09.2015 / 03:55