我正在使用 NGINX 伺服器來託管一個暴露於開放網路的靜態網站。在瀏覽訪問日誌時,我發現了一組以 結尾的資源請求.env,例如:
“GET /bedesk1.1/.env HTTP/1.1”
“GET /test/bedesk1.1/.env HTTP/1.1”
“GET /.env HTTP/1.1”
“GET /.env.local HTTP/1.1”
“GET /database/.env HTTP/1.1"
"GET /public/.env HTTP/1.1"
"GET /admin/.env HTTP/1.1"
"GET /api/.env HTTP/1.1"
"GET /API/.env HTTP /1.1"
"GET /blog/.env HTTP/1.1"
"GET /.env.backup HTTP/1.1" "GET
/.env.save HTTP/1.1"
"GET /app/.env HTTP/1.1"
"GET / dev/.env HTTP/1.1"
"GET /env/.env HTTP/1.1"
"GET /core/.env HTTP/1.1"
.env我假設這是一個腳本化的網路爬蟲,在常用資源路徑中尋找檔案。
- 有人知道他們在找什麼嗎?
- 如果他們找到了這些訊息,他們希望如何處理這些訊息?
- 在什麼情況下這些資源會實際存在並且可以透過網路存取?
答案1
他們正在尋找.env文件,通常會保存例如 docker 部署中使用的環境變數。此類文件通常包含資料庫等的憑證,因此任何攻擊者都會非常感興趣。
此類文件通常不應從網路訪問,但錯誤配置總是會發生...