ITблог
Алексея Черемных
Попытка атаки: GET /SQLiteManager/main.php HTTP/1.1
Попытка атаки: GET /SQLiteManager/main.php HTTP/1.1
Категория: Разработка Теги: Веб-разработка , Уязвимости Опубликовано: 22 апреля 2023

Изучаем запрос: GET /SQLiteManager/ main.php HTTP/1.1

Начнем с того, что я нашел в логе nginx такую запись (IP-адреса изменены, сайт не этот):

2023/03/13 08:13:15 [error] 2615031#2615031: *14946 open() "/usr/share/nginx/html/SQLiteManager/main.php" failed (2: No such file or directory), client: 203.115.105.254, server: localhost, request: "GET /SQLiteManager/main.php HTTP/1.1", host: "91.151.28.2", referrer: "http://91.151.28.2/"

Что пытался сделать злоумышленник? 

Безусловно, этот запрос направлен не вручную, а из специальной программы или подготовленного скрипта / бота, но управляет этим человек, поэтому для упрощения я буду говорить именно про этого злоумышленника.

Разберём HTTP-запрос

IP-адрес 91.151.28.2 это адрес нашего веб-сервера и то, что тут написан именно IP-адрес, а не доменное имя говорит о том, что злоумышленник в HTTP-запросе писал именно IP-адрес, а не конкретный сайт.

Строка failed (2: No such file or directory) говорит о том, что запрашиваемый файл не существует и соответственно ему вернулся статус 404.

IP-адрес злоумышленника 203.115.105.254 и он принадлежит Primesoftex Ltd, которая находится в Дели, расположенном на севере Индии.

Сам запрос "GET /SQLiteManager/main.php HTTP/1.1" показывает, что он хотел получить доступ к панели управления SQLiteManager при помощи HTTP-метода GET.

По данным CleanTalk с данного IP-адреса не было рассылки спама по формам на веб-сайтах, однако, в базе AbuseIPDB указано, что данного уже были атаки на другие сайты, правда всего всего 7 и все за последний месяц.

Технические детали

Очевидно, что злоумышленник хотел проэксплуатировать уязвимость в SQLiteManager 1.2.0 и 1.2.4 (CVE-2019-9083).

Для этой уязвимости в открытом доступе опубликованы эксплоиты, позволяющие выполнить SQL-инъекцию.

SQLiteManager является инструментом для работы с базами данных SQLite через веб-интерфейс, поэтому внедрение SQL позволяет получить содержимое всей базы данных, а также внести необходимые изменения.

И сразу стоит отметить, что он искал этот файл не по доменному имени, а по IP-адресу сервера. Это очень умно.

Первым делом эксплоит проверяет наличие файла /SQLiteManager/main.php, а потом пытается проверить возможность эксплуатации уязвимости CVE-2019-9083 при помощи передачи -1 or 32 = 30  через параметр dbsel - /SQLiteManager/main.php?dbsel=-1%20or%2032%20%3d%2030.

Далее он может отправить sqli.txt с SQL запросом, который необходимо выполнить.

Как защитить веб-сервер?

Немного информации

Скорее всего злоумышленник выполнял сканирование веб-приложения на наличие уязвимостей, используя инструменты для автоматического сканирования уязвимостей.

Любой админ скажет, что реагировать на такие записи в журнале не нужно, но любой опытный пентестер скажет, что реагировать на такие записи в журнале нужно!

Автоматические сканирования на наличие уязвимостей веб-серверов ботами со всего мира - это не просто неприятное явление, но и серьезная угроза для безопасности веб-сервера. Согласно отчету, опубликованному в 2019 году, боты составляют около 37,2% всего трафика Интернета, и это число продолжает расти. Боты, сканирующие веб-серверы, могут искать уязвимости, которые можно использовать для получения несанкционированного доступа к серверу или к данным, которые он содержит.

Теперь скажите честно, последней ли версии у вас всё ПО и библиотеки как на веб-сервере, так и в самом сайте? Уверен, что у большинства будут далеко не последние версии, так как при обновлении много придется настраивать заново. Пора задуматься и понять, что риск не равен нулю.

С чего начинается атака хакера или пентестера на веб-сервер? 

Первым этапом является именно OSINT, но если упростить, то сначала ему нужно собрать информацию. Все прочие виды атак мы опустим, так как тут речь идет о конкретной. В данном случае, злоумышленник собирает информацию о сайте и сервере из открытых источников.

Далее через кучу прокси-серверов сканирует сервер на наличие уязвимостей. При таком сканировании на сервер отправляет множество запросов, но фишка в том, что он использует целый пул прокси-серверов, поэтому каждый 1-2 запроса выполняются с разных IP-адресов. Однако, при частых сканированиях они все будут присутствовать в спам базах.

Если его сканер найдет уязвимость, тогда злоумышленник уже сам будет производить атаку, хотя некоторые так называемые сканирования выполняли через пентестерский фреймворк metasploit методом check.

Рекомендации по противодействию атакам на веб-сервер

Для защиты от автоматических сканирований наличия уязвимостей веб-серверов ботами со всего мира, рекомендуется использовать следующие технические меры защиты на nginx или apache:

  1. Установка модуля ModSecurity: ModSecurity - это модуль для HTTP-сервера Apache, который позволяет обнаруживать и предотвращать атаки на веб-приложения. Он может блокировать запросы, которые соответствуют известным атакам, а также запросы, которые слишком часто повторяются, что может указывать на сканирование.
  2. Использование Fail2ban: Fail2ban - это программное обеспечение, которое может анализировать логи веб-сервера и блокировать IP-адреса, которые слишком часто отправляют запросы на сервер. Это может предотвратить сканирование и другие виды атак на сервер.
  3. Настройка Cloudflare или его аналога: Cloudflare - это сервис, который может использоваться в качестве прокси-сервера для вашего веб-сайта. Он может блокировать запросы от известных ботов и других источников нежелательного трафика, а также предоставлять другие инструменты защиты.

Важно блокировать автоматические сканирования на наличие уязвимостей веб-серверов ботами со всего мира, чтобы защитить данные и обеспечить безопасность веб-сервера. Использование рекомендуемых технических мер защиты поможет предотвратить сканирование и другие виды атак, которые могут привести к серьезным последствиям для вашего веб-сервера.

В качестве дополнительных рекомендаций можно назвать весьма очевидные вещи:

  1. Обновлять все используемое ПО на веб-сервере до последних версий.
  2. Обновлять используемые веб-приложениями библиотеки до последних версий.
  3. Производить сканирование на наличие уязвимостей доступными средствами (в Kali Linux для этого множество инструментов).
  4. Использовать средства для аудита кода на безопасность (например, Codacy, Codeac, deepcode или SonarCloud).
  5. Отслеживать новые уязвимости в NATIONAL VULNERABILITY DATABASE и в Банке данных угроз безопасности информации.
  6. В идеале нужно установить WAF, но такие продукты очень дорогие, а бесплатные неэффективны.

Также можно рассмотреть блокировку посетителей из других стран при помощи GeoIP, но в спорных территориях могут быть неправильные определения, а также необходимо сделать исключения для пула адресов поисковых роботов Google и Bing.

Алексей Черемных
679

Похожие материалы:

Django автоматическое заполнение поля в модели при её создании
10 января 2021
Django автоматическое заполнение поля в модели при её создании
Разрешить только определенные HTTP запросы при помощи require_http_methods в Django
3 января 2021
Разрешить только определенные HTTP запросы при помощи require_http_methods в Django
Миниатюры в Django при помощи easy-thumbnail
19 июня 2022
Миниатюры в Django при помощи easy-thumbnail
Простой способ в Django блокировать конкретные IP на всем сайте
3 января 2021
Простой способ в Django блокировать конкретные IP на всем сайте
Способ передать варианты выбора choices в forms.ChoiceField из views.py
21 июня 2021
Способ передать варианты выбора choices в forms.ChoiceField из views.py
Бесплатная программа для создания карты сайта
30 ноября 2020
Бесплатная программа для создания карты сайта