como evitar accesos indevidos

Iniciado por edgar1912, Julio 11, 2019, 02:01:08 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Buenas a todo el foro, tengo un pequeño detalle en un servidor local web con ip publica, me he dado cuenta que en muchas ocasiones se trata de acceder a el sitio con diferentes rutas como por ejemplo las siguiente:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/index.php?s=captcha
/TP/public/index.php
/TP/index.php
/thinkphp/html/public/index.php
/html/public/index.php
/public/index.php
/TP/html/public/index.php
/elrekt.php
/nice%20ports%2C/Tri%6Eity.txt%2ebak
/syslog.htm
/secure/ltx_conf.htm
/setup
/operator/basic.shtml
/view/index.shtml

y mucha otras, uso un router mikrotik, ya agrege reglas de bloqueo como telnet,ssh, scanneo de puertos, bloqueo de dns cache externo y webproxy externo pero eso no detiene los intentos de acceso, intente bloqueando todos los puertos excepto el 443 y 5222 con destino a mi ip pero eso provoca conflictos al querer navegar en Internet, quisiera saber si existe alguna otra regla para crear un white list de ip's con acceso o alguna otra forma para contrarrestar el acceso por fuerza bruta

Julio 11, 2019, 02:20:52 PM #1 Ultima modificación: Julio 11, 2019, 02:25:09 PM por DtxdF
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola, sabes la dirección de origen?, Si la sabes haz hecho algún escaneo o sacado información como la "ubicación" (lo digo por si acaso quieres llevar esto a un asunto más grande o para verificar que no sea un conocido).

Está atento por si tienes un virus que te está acechando la red.

Sobre la lista blanca (White list), la mayoría de router's, tienen esta opción es cuestión de que busques dependiendo del router y el modelo.

Si el router no te permite esta característica, usa un lenguaje que te permita bloquear el acceso (Como PHP, detectas la IP y si lo deseas no le muestras el contenido)

Espero haberte ayudado y espero que alguien más aporte tu inconveniente.

- DtxdF

PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

Gracias por tu respuesta, ya he tratado de geolocalizar las direcciones ip y apuntan a diferentes partes del mundo no he intentado bloquear las ip con php solo con el Router, lo que mas me preocupa es la ejecución de este tipo de sentencias:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

lo busque en internet y aparentemente es un exploit llamado ThinkPHP de ejecución de comando remotos lo que traduzco a que no tratan de acceder desde un navegador sino desde alguna consola, terminal o shell

Tengo cierta duda:
Refiere que son "intentos de ataques", o sea que le atacan el servidor, pero sin éxitos de accesos, etc.
Si es así, es completamente normal, y nada extraño.
Todos los servidores reciben ataques u intentos, al menos de 4 a 5 veces al día. Y es una cifra conservadora.
Tiene las providencias tomadas (según refiere) y está al tanto.
Tomar precaución con los accesos permitidos, y con los virus, y estar al tanto.
Apretadito... pero relajado. Que es normal. O tiene evidencias que hay una brecha de algun tipo?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Tengo cierta duda:
Refiere que son "intentos de ataques", o sea que le atacan el servidor, pero sin éxitos de accesos, etc.
Si es así, es completamente normal, y nada extraño.
Todos los servidores reciben ataques u intentos, al menos de 4 a 5 veces al día. Y es una cifra conservadora.
Tiene las providencias tomadas (según refiere) y está al tanto.
Tomar precaución con los accesos permitidos, y con los virus, y estar al tanto.
Apretadito... pero relajado. Que es normal. O tiene evidencias que hay una brecha de algun tipo?


hasta el momento no tengo ningún tipo de fallo conocido, si monitoreo constantemente las peticiones que se hacen al servido pero entonces es bastante normal estos tipos de ataques. agradezco sus respuestas.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas a todo el foro, tengo un pequeño detalle en un servidor local web con ip publica, me he dado cuenta que en muchas ocasiones se trata de acceder a el sitio con diferentes rutas como por ejemplo las siguiente:

/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/index.php?s=captcha
/TP/public/index.php
/TP/index.php
/thinkphp/html/public/index.php
/html/public/index.php
/public/index.php
/TP/html/public/index.php
/elrekt.php
/nice%20ports%2C/Tri%6Eity.txt%2ebak
/syslog.htm
/secure/ltx_conf.htm
/setup
/operator/basic.shtml
/view/index.shtml

y mucha otras, uso un router mikrotik, ya agrege reglas de bloqueo como telnet,ssh, scanneo de puertos, bloqueo de dns cache externo y webproxy externo pero eso no detiene los intentos de acceso, intente bloqueando todos los puertos excepto el 443 y 5222 con destino a mi ip pero eso provoca conflictos al querer navegar en Internet, quisiera saber si existe alguna otra regla para crear un white list de ip's con acceso o alguna otra forma para contrarrestar el acceso por fuerza bruta

Pues, es un mikrotik, le puedes cambiar el firmware? Por lo que describes es un ataque a ciegas, onda "chance y le pego" es lo que hacen todos los scanners basicamente (ejemplo acunetix) le pega con todo lo uqe puede hasta acertar en algo!
Si te preocupa que accedan a tu server te diria cambiale el firmware, metele openwrt o alguno customizable, hardenealo, metele un ids, snort, iptables o portnocking para acceder, llaves ssh, y metele seguridad a nivel sistema operativo, si es windows o linux.
Si tenes alguna duda con algunas de las cosas que te enumeré, publicalo en el foro y lo vamos resolviendo, saludos!

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como dice @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta es normal, puedes también disminuirle la respuesta del servidor o crear un script para el servidor para bloquear el acceso a un usuario con identificadores determinados (nombre de usuario, dirección IP, ubicación, etc;lo importante es que el script detecte patrones y bloquee el acceso a esas direcciones nuevas). Digo esto para que no tengas que estar revisando tu servidor y ver quien te está atacando, sobre el identificador de usuario ya depende de tu servicio.

También deberías prestar atención a lo que dice @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, es bueno que tú servidor tenga seguridad en caso de tener fallas o no.

Sobre la vulnerabilidad que encontraste, te recomiendo que la trates de explotarla, ya que sólo la buscaste en tu buscador con solo tener un patrón.
PGP :: <D82F366940155CB043147178C4E075FC4403BDDC>

~ DtxdF

Poniendo en claro las cosas:

Que le ataquen... es normal.

No solo a Ud. sino a todo el mundo, en especial si se tiene servidores dedicados.
Es por ello que se contratan compañías que ofrecen seguridad varia: como Cloudflare, etc.

El que realice cambios a lo neurótico, incrementando la seguridad en extremo le pudiera dar problemas con los clientes y sus accesos.

Hay soluciones de seguridad, en especial los firewalls que (según sean y las opciones que brinden), le crean reglas de bloqueo automáticas al detectar los ataques (siempre que lo tenga intrínseco, y habilitado).

Por lo demás, si tiene certeza que no ha sido vulnerado, es señal que hay una buena configuración.

Monitorear y estar al tanto: de las noticias de seguridad, vulnerabilidades, actualizaciones, etc. Y tener el servidor en punta.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

por lo que comentas te estan scaneando el servidor , clouflare es muy bueno en este aspecto, pero es normal creo que es bastante dificil pararlo por si usas un ipban siempre estan o usaran una vpn o algo que oculte su ip

para redondear, por lo que entiendo el payload que mostras es un carrito chino de compras, pues si no lo tienes corriendo en tu servidor, no hay manera de que lo exploten.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por otro lado espero se me permita corregir a @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, creo yo que el que uno este convencido que no lo hayan vulnerado, no es garantía de que así sea. Uno puede estar convencido de que no le accedieron, más sin embargo, porque algo se nos paso por alto, pudieron llevar a cabo la intrusión.
La paranoia es buena jejeje
para ir terminando, a lo mejor esto sea algo de lo que buscas
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta