저는 공개 인터넷에 노출된 정적 웹 사이트를 호스팅하기 위해 NGINX 서버를 사용하고 있습니다. 액세스 로그를 살펴보는 동안 로 끝나는 리소스에 대한 요청 클러스터를 발견했습니다 .env. 예:
"GET /bedesk1.1/.env HTTP/1.1"
"GET /test/bedesk1.1/.env HTTP/1.1"
"GET /.env HTTP/1.1"
"GET /.env.local HTTP/1.1"
"GET /database/.env HTTP/1.1"
"GET /public/.env HTTP/1.1"
"GET /admin/.env HTTP/1.1"
"GET /api/.env HTTP/1.1"
"GET /API/.env HTTP /1.1"
"GET /blog/.env HTTP/1.1"
"GET /.env.backup HTTP/
1.1" "GET /.env.save HTTP/1.1"
"GET /app/.env HTTP/1.1"
"GET / dev/.env HTTP/1.1"
"GET /env/.env HTTP/1.1"
"GET /core/.env HTTP/1.1"
.env나는 이것이 일반적으로 사용되는 리소스 경로에서 파일을 찾는 스크립트된 웹 크롤러라고 가정합니다 .
- 누구든지 그들이 찾고 있던 것이 무엇인지 알고 있습니까?
- 만약 그들이 그 정보를 발견했다면 그 정보로 무엇을 하고 싶겠습니까?
- 어떤 상황에서 해당 리소스가 실제로 존재하고 웹에서 액세스할 수 있습니까?
답변1
그들은 찾고 있었다.env파일, 일반적으로 docker 배포에 사용되는 환경 변수를 보유합니다. 이러한 파일에는 일반적으로 데이터베이스 등에 대한 자격 증명이 포함되어 있으므로 모든 공격자가 큰 관심을 가질 것입니다.
이러한 파일은 일반적으로 웹에서 액세스할 수 없어야 하지만 구성 오류는 항상 발생합니다.