Ich verwende einen NGINX-Server, um eine statische Website zu hosten, die dem offenen Internet zugänglich ist. Beim Durchsehen der Zugriffsprotokolle stieß ich auf eine Reihe von Anfragen für Ressourcen, die mit enden .env, z. B.:
„GET /bedesk1.1/.env HTTP/1.1“
„GET /test/bedesk1.1/.env HTTP/1.1“
„GET /.env HTTP/1.1“
„GET /.env HTTP/1.1“
„GET /.env.local HTTP/1.1“
„GET /database/.env HTTP/1.1“
„GET /public/.env HTTP/1.1“
„GET /admin/.env HTTP/1.1“
„GET /api/.env HTTP/1.1“
„GET /API/.env HTTP/1.1“ „GET /blog/.env HTTP/1.1
“ „GET /.env.backup HTTP/
1.1“ „GET /.env.save HTTP/1.1 “ „
GET /app/.env HTTP/1.1“
„GET /dev/.env HTTP/1.1“
„GET /env/.env HTTP/1.1“
„GET /core/.env HTTP/1.1“
Ich gehe davon aus, dass dies ein geskripteter Webcrawler ist, der .envin häufig verwendeten Ressourcenpfaden nach Dateien sucht.
- Hat jemand eine Idee, wonach sie gesucht haben?
- Was würden sie mit diesen Informationen anfangen wollen, wenn sie sie gefunden hätten?
- Unter welchen Umständen würden diese Ressourcen tatsächlich existieren und über das Internet zugänglich sein?
Antwort1
Sie suchten nach.envDateien, die üblicherweise Umgebungsvariablen enthalten, die z. B. in Docker-Bereitstellungen verwendet werden. Solche Dateien enthalten normalerweise Anmeldeinformationen für Datenbanken usw. und wären daher für jeden Angreifer von großem Interesse.
Normalerweise sollten solche Dateien NICHT über das Internet zugänglich sein, aber es kommt ständig zu Fehlkonfigurationen ...