Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

como evitar accesos indevidos

  • 9 Respuestas
  • 1759 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado edgar1912

  • *
  • Underc0der
  • Mensajes: 38
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Julio 11, 2019, 02:01:08 pm »
Buenas a todo el foro, tengo un pequeño detalle en un servidor local web con ip publica, me he dado cuenta que en muchas ocasiones se trata de acceder a el sitio con diferentes rutas como por ejemplo las siguiente:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/index.php?s=captcha
/TP/public/index.php
/TP/index.php
/thinkphp/html/public/index.php
/html/public/index.php
/public/index.php
/TP/html/public/index.php
/elrekt.php
/nice%20ports%2C/Tri%6Eity.txt%2ebak
/syslog.htm
/secure/ltx_conf.htm
/setup
/operator/basic.shtml
/view/index.shtml

y mucha otras, uso un router mikrotik, ya agrege reglas de bloqueo como telnet,ssh, scanneo de puertos, bloqueo de dns cache externo y webproxy externo pero eso no detiene los intentos de acceso, intente bloqueando todos los puertos excepto el 443 y 5222 con destino a mi ip pero eso provoca conflictos al querer navegar en Internet, quisiera saber si existe alguna otra regla para crear un white list de ip's con acceso o alguna otra forma para contrarrestar el acceso por fuerza bruta

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 355
  • Actividad:
    61.67%
  • Reputación 6
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
« Respuesta #1 en: Julio 11, 2019, 02:20:52 pm »
@edgar1912

Hola, sabes la dirección de origen?, Si la sabes haz hecho algún escaneo o sacado información como la "ubicación" (lo digo por si acaso quieres llevar esto a un asunto más grande o para verificar que no sea un conocido).

Está atento por si tienes un virus que te está acechando la red.

Sobre la lista blanca (White list), la mayoría de router's, tienen esta opción es cuestión de que busques dependiendo del router y el modelo.

Si el router no te permite esta característica, usa un lenguaje que te permita bloquear el acceso (Como PHP, detectas la IP y si lo deseas no le muestras el contenido)

Espero haberte ayudado y espero que alguien más aporte tu inconveniente.

- DtxdF

« Última modificación: Julio 11, 2019, 02:25:09 pm por DtxdF »
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado edgar1912

  • *
  • Underc0der
  • Mensajes: 38
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Julio 11, 2019, 02:39:41 pm »
Gracias por tu respuesta, ya he tratado de geolocalizar las direcciones ip y apuntan a diferentes partes del mundo no he intentado bloquear las ip con php solo con el Router, lo que mas me preocupa es la ejecución de este tipo de sentencias:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

lo busque en internet y aparentemente es un exploit llamado ThinkPHP de ejecución de comando remotos lo que traduzco a que no tratan de acceder desde un navegador sino desde alguna consola, terminal o shell

Desconectado AXCESS

  • *
  • Moderator
  • Mensajes: 405
  • Actividad:
    91.67%
  • Reputación 11
    • Ver Perfil
    • Email
« Respuesta #3 en: Julio 11, 2019, 02:54:40 pm »
Tengo cierta duda:
Refiere que son “intentos de ataques”, o sea que le atacan el servidor, pero sin éxitos de accesos, etc.
Si es así, es completamente normal, y nada extraño.
Todos los servidores reciben ataques u intentos, al menos de 4 a 5 veces al día. Y es una cifra conservadora.
Tiene las providencias tomadas (según refiere) y está al tanto.
Tomar precaución con los accesos permitidos, y con los virus, y estar al tanto.
Apretadito… pero relajado. Que es normal. O tiene evidencias que hay una brecha de algun tipo?


Desconectado edgar1912

  • *
  • Underc0der
  • Mensajes: 38
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Julio 11, 2019, 04:06:09 pm »
Tengo cierta duda:
Refiere que son “intentos de ataques”, o sea que le atacan el servidor, pero sin éxitos de accesos, etc.
Si es así, es completamente normal, y nada extraño.
Todos los servidores reciben ataques u intentos, al menos de 4 a 5 veces al día. Y es una cifra conservadora.
Tiene las providencias tomadas (según refiere) y está al tanto.
Tomar precaución con los accesos permitidos, y con los virus, y estar al tanto.
Apretadito… pero relajado. Que es normal. O tiene evidencias que hay una brecha de algun tipo?


hasta el momento no tengo ningún tipo de fallo conocido, si monitoreo constantemente las peticiones que se hacen al servido pero entonces es bastante normal estos tipos de ataques. agradezco sus respuestas.

Conectado hielasangre

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    20%
  • Reputación 4
    • Ver Perfil
« Respuesta #5 en: Julio 11, 2019, 04:11:01 pm »
Buenas a todo el foro, tengo un pequeño detalle en un servidor local web con ip publica, me he dado cuenta que en muchas ocasiones se trata de acceder a el sitio con diferentes rutas como por ejemplo las siguiente:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/index.php?s=captcha
/TP/public/index.php
/TP/index.php
/thinkphp/html/public/index.php
/html/public/index.php
/public/index.php
/TP/html/public/index.php
/elrekt.php
/nice%20ports%2C/Tri%6Eity.txt%2ebak
/syslog.htm
/secure/ltx_conf.htm
/setup
/operator/basic.shtml
/view/index.shtml

y mucha otras, uso un router mikrotik, ya agrege reglas de bloqueo como telnet,ssh, scanneo de puertos, bloqueo de dns cache externo y webproxy externo pero eso no detiene los intentos de acceso, intente bloqueando todos los puertos excepto el 443 y 5222 con destino a mi ip pero eso provoca conflictos al querer navegar en Internet, quisiera saber si existe alguna otra regla para crear un white list de ip's con acceso o alguna otra forma para contrarrestar el acceso por fuerza bruta

Pues, es un mikrotik, le puedes cambiar el firmware? Por lo que describes es un ataque a ciegas, onda "chance y le pego" es lo que hacen todos los scanners basicamente (ejemplo acunetix) le pega con todo lo uqe puede hasta acertar en algo!
Si te preocupa que accedan a tu server te diria cambiale el firmware, metele openwrt o alguno customizable, hardenealo, metele un ids, snort, iptables o portnocking para acceder, llaves ssh, y metele seguridad a nivel sistema operativo, si es windows o linux.
Si tenes alguna duda con algunas de las cosas que te enumeré, publicalo en el foro y lo vamos resolviendo, saludos!

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 355
  • Actividad:
    61.67%
  • Reputación 6
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
« Respuesta #6 en: Julio 11, 2019, 05:09:28 pm »
@edgar1912

Como dice @AXCESS es normal, puedes también disminuirle la respuesta del servidor o crear un script para el servidor para bloquear el acceso a un usuario con identificadores determinados (nombre de usuario, dirección IP, ubicación, etc;lo importante es que el script detecte patrones y bloquee el acceso a esas direcciones nuevas). Digo esto para que no tengas que estar revisando tu servidor y ver quien te está atacando, sobre el identificador de usuario ya depende de tu servicio.

También deberías prestar atención a lo que dice @hielasangre, es bueno que tú servidor tenga seguridad en caso de tener fallas o no.

Sobre la vulnerabilidad que encontraste, te recomiendo que la trates de explotarla, ya que sólo la buscaste en tu buscador con solo tener un patrón.
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado AXCESS

  • *
  • Moderator
  • Mensajes: 405
  • Actividad:
    91.67%
  • Reputación 11
    • Ver Perfil
    • Email
« Respuesta #7 en: Julio 11, 2019, 08:50:18 pm »
Poniendo en claro las cosas:

Que le ataquen… es normal.
 
No solo a Ud. sino a todo el mundo, en especial si se tiene servidores dedicados.
Es por ello que se contratan compañías que ofrecen seguridad varia: como Cloudflare, etc.

El que realice cambios a lo neurótico, incrementando la seguridad en extremo le pudiera dar problemas con los clientes y sus accesos.

Hay soluciones de seguridad, en especial los firewalls que (según sean y las opciones que brinden), le crean reglas de bloqueo automáticas al detectar los ataques (siempre que lo tenga intrínseco, y habilitado).

Por lo demás, si tiene certeza que no ha sido vulnerado, es señal que hay una buena configuración.

Monitorear y estar al tanto: de las noticias de seguridad, vulnerabilidades, actualizaciones, etc. Y tener el servidor en punta.


Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 270
  • Actividad:
    5%
  • Reputación 1
  • Vivir sin sueño no es vivir.
    • Ver Perfil
« Respuesta #8 en: Julio 11, 2019, 11:41:49 pm »
por lo que comentas te estan scaneando el servidor , clouflare es muy bueno en este aspecto, pero es normal creo que es bastante dificil pararlo por si usas un ipban siempre estan o usaran una vpn o algo que oculte su ip

Conectado hielasangre

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    20%
  • Reputación 4
    • Ver Perfil
« Respuesta #9 en: Julio 12, 2019, 01:29:40 am »
para redondear, por lo que entiendo el payload que mostras es un carrito chino de compras, pues si no lo tienes corriendo en tu servidor, no hay manera de que lo exploten.

https://www.exploit-db.com/exploits/46150

Por otro lado espero se me permita corregir a @AXCESS, creo yo que el que uno este convencido que no lo hayan vulnerado, no es garantía de que así sea. Uno puede estar convencido de que no le accedieron, más sin embargo, porque algo se nos paso por alto, pudieron llevar a cabo la intrusión.
La paranoia es buena jejeje
para ir terminando, a lo mejor esto sea algo de lo que buscas
https://es.wikipedia.org/wiki/Fail2ban

 

¿Te gustó el post? COMPARTILO!



¿Como fundear un "exe"? dejarle sin avs

Iniciado por iquitoshack

Respuestas: 5
Vistas: 5176
Último mensaje Junio 07, 2012, 02:52:34 pm
por Sanko
Como subir un proyecto de angular dos a angular?

Iniciado por Dani54

Respuestas: 1
Vistas: 1756
Último mensaje Diciembre 21, 2018, 06:09:49 pm
por noxonsoftwares
Usar memoria externa como memoria interna.

Iniciado por CthulhuRise97

Respuestas: 4
Vistas: 4533
Último mensaje Abril 30, 2018, 05:35:43 pm
por NERV0
Cómo uso la "/" para hacer un select en una tabla

Iniciado por tetano32

Respuestas: 3
Vistas: 3563
Último mensaje Diciembre 20, 2017, 04:41:12 pm
por tetano32
Como obtener informacion de la DB "mysql" con SQLMap

Iniciado por DirectxTro

Respuestas: 3
Vistas: 2705
Último mensaje Marzo 09, 2016, 08:01:03 pm
por seth