Mientras intento desarrollar una API de practica, es normal que olvide las buenas practicas en pos de la funcionalidad, así que he encontrado algunos logs inesperados tras dejar encendido mi servidor de pruebas, probablemente de un hacker novato que tenia esperanzas de encontrar algo útil en mi servidor.
Este articulo pensé en ponerlo en el apartado del Salón de la Fama del Spam pero no es SPAM. Es un ataque de rastreo de vulnerabilidades que tal vez comenzó con algo automatizado y terminó en un tanteo manual.
Un movimiento sospechoso
Todo empezó al revisar mis logs. Es un código rápido servido con express y Morgan como logger. Dejé corriendo el código y pronto me encontré con un mensaje de error 500, que es un comportamiento esperado dado que solo responde las api ante llamadas POST con un token, que todavía no defino o con Telegram Auth, que solo funciona si se abre desde el mini navegador de Telegram integrado. Lo miré sin mucho interés pues es lo normal, pero entonces vi que eran intentos de acceder mediante GET a rutas físicas de mi servidor.
No está permitida esta acción
GET / 500 8.722 ms - 1393
No está permitida esta acción
GET /home/user/Proyectos/bot/api-server/app.js 500 6.681 ms - 1393
No está permitida esta acción
GET /home/user/Proyectos/bot/api-server/node_modules/express/lib/router/layer.js 500 4.112 ms - 1393
No está permitida esta acción
GET /home/user/Proyectos/bot/api-server/node_modules/body-parser/lib/types/urlencoded.js 500 4.975 ms - 1393
No está permitida esta acción
GET /home/user/Proyectos/bot/api-server/node_modules/express/lib/router/index.js 500 4.324 ms - 1393Confundido, me asuste al pensar que había dejado expuesto algo peligroso. No debería ser el caso pues, a diferencia de apache, que sirve el contenido de todo un directorio, express, solo sirve las rutas que yo ya he programado.
Posible Hacker
Para ser sinceros, siempre que hay actividad sospechosa, es un hacker. La cosa es que siempre hay actividad sospechosa. A diario y a cada hora hay alguien escaneando la red para ver si pilla algo. Suelen ser escaneos automatizados y si tienes paciencia, con un buen bloqueo por iptables, te dejan en paz. La cosa era, primero, descubrir que vulnerabilidad tenia.
Un compa programador me ayudo con esto. Como no lo veía claro, el pidió la URL para hacer algunas pruebas. Con eso le bastó para saber que no había nada que exponga datos sensibles excepto un mensaje de error.
Conclusiones
Este misterio fue sencillo de resolver. El mensaje sospechoso solo era alguien que se tomo la molestia de leer mi mensaje de error e intentar ver que encontraba usando esas rutas.
¿Conseguiría algo haciendo eso? No, pero tampoco perdía nada con probar. Me pareció super interesante pues era señal de que había un humano del otro lado de la pantalla pues, los ataques automatizados no se habrían dado cuenta de ese error o si se daban cuenta, lo ignoraban pues no ganan nada aprovechándolo.
Probablemente fue una persona experimentando sobre lo que puede o no puede hacer. Tal vez un novato o alguien aburrido. Quien sabe. Lo que si se es que con ese entusiasmo, probablemente se convierta en un peligro pronto. Ánimos joven persona en caminos ilegales. Te deseo que enrumbes tus pasos en algo de bien.
Descubre más desde Interlan
Suscríbete y recibe las últimas entradas en tu correo electrónico.
Yay salí en la página de Drk0027 <( ̄︶ ̄)>
Yes. Sonríe para la cámara XD