Я использую сервер NGINX для размещения статического веб-сайта, доступного в открытый интернет. Просматривая журналы доступа, я наткнулся на кластер запросов на ресурсы, заканчивающихся на .env, например:
"GET /bedesk1.1/.env HTTP/1.1"
"GET /test/bedesk1.1/.env HTTP/1.1"
"GET /.env HTTP/1.1"
"GET /.env.local HTTP/1.1"
"GET /database/.env HTTP/1.1"
"GET /public/.env HTTP/1.1"
"GET /admin/.env HTTP/1.1"
"GET /api/.env HTTP/1.1"
"GET /API/.env HTTP/1.1"
"GET /blog/.env HTTP/1.1"
"GET /.env.backup HTTP/1.1"
"GET /.env.save HTTP/1.1"
"GET /app/.env HTTP/1.1"
"GET /dev/.env HTTP/1.1"
"GET /env/.env HTTP/1.1"
"ПОЛУЧИТЬ /core/.env HTTP/1.1"
Я предполагаю, что это скриптовый веб-сканер, ищущий .envфайлы в часто используемых путях к ресурсам.
- Есть ли у кого-нибудь идеи, что они искали?
- Что бы они надеялись сделать с этой информацией, если бы нашли ее?
- При каких обстоятельствах эти ресурсы действительно будут существовать и будут доступны из Интернета?
решение1
Они искали.envфайлы, обычно содержащие переменные среды, используемые, например, в развертываниях Docker. Такие файлы обычно содержат учетные данные для баз данных и т. д., и поэтому могут представлять большой интерес для любого злоумышленника.
Обычно такие файлы НЕ должны быть доступны из Интернета, но ошибки в настройках случаются постоянно...