Comment l'attaquant découvre-t-il notre serveur?
Comme intitulé, nous avons découvert qu'une adresse IP inconnue accède à notre serveur API.
Nous avons configuré une instance AWS EC2 en tant que serveur API. L'URL du serveur API n'est utilisée que dans notre application mobile. Cependant, notre application mobile n'a pas encore été publiée et l'URL du serveur API n'est liée à aucun site Web public.
Nous pouvons voir que les (multiples) attaquants essaient au hasard le chemin de l'URL,
i.e.
/admin/i18n/readme.txt
/a2billing/admin/Public/index.php
/current_config/passwd
/recordings/
/.git/objects
Comment découvrent-ils vraiment notre serveur?
La réponse courte est que beaucoup de gens scannent tout la plupart du temps.
Cela était, il y a quelques années, considéré comme peu pratique, mais la combinaison de meilleurs réseaux, de meilleurs outils, d'un meilleur débit et d'une plus grande quantité d'espace utilisé signifie que ce n'est plus le cas.
Par exemple, Zmap affirme sur sa première page:
ZMap est capable d'effectuer une analyse complète de l'espace d'adressage IPv4 en moins de 5 minutes, approchant la limite théorique de dix gigabits Ethernet.
Les botnets ont tendance à distribuer le même type d'analyse sur un nombre important de nœuds, pour obtenir un résultat similaire: toute machine donnée sur Internet est susceptible d'être analysée au moins une fois par jour par un attaquant/scanner déterminé.
Une fois qu'un serveur Web est identifié sur une IP donnée, il existe toutes sortes d'outils pour tester des chemins bien connus et des outils qui essaieront de deviner votre plan du site.
En bref, bienvenue sur Internet - où l'obscurité n'est pas la sécurité.
Considérez cela dans le contexte de la configuration de votre application/services/widget - selon toute vraisemblance, les choses que vous préféreriez probablement être "secrètes" ne le seront pas, et la défense de vos actifs et ressources est nécessaire.
À propos de chaque adresse IP est soumise à un sondage continu depuis des années. Vous n'avez même pas besoin d'avoir un nom de domaine, un accès IP DHCP DHCP normal est suffisant. L'exécution d'un service http factice sur votre ordinateur marque les hits des sondes automatisées/phpmyadmin et autres. Si votre service donne le code http 200 comme réponse, certaines tentatives d'abus peuvent suivre.
Les sondeurs et les attaquants utilisent des botnets et donc l'adresse IP utilisée peut être n'importe quoi, de l'adresse personnelle d'un pirate à l'adresse IP d'un appareil de cuisine ... et plus encore. Le blocage des adresses IP ne fonctionne plus. Si vous voulez avoir quelque chose sur Internet avant la sortie, vous voudrez peut-être liste blanche les adresses qui doivent accéder au site.
N'oubliez pas: n'autorisez jamais l'accès SSH direct à vos serveurs depuis Internet. Les ports SSH subissent constamment des bombardements similaires. Si vous avez un serveur SSH et un nom d'utilisateur 'dave' avec un mot de passe 'letmein' ouvert à Internet, vous serez probablement piraté en un rien de temps.
Il semble que ce ne soient que des scanners aléatoires sur Internet. Ils parcourent simplement différentes adresses IP et recherchent certains dossiers et fichiers qui pourraient indiquer des vulnérabilités.