Hücumun təhlili: Multify proksisinə qarşı zəiflik skaneri

29 may 2026-cı il, saat 17:04. Kot-d'İvuardan iki IP ünvanı Multify proksi serverinə qoşuldu. Növbəti 90 saniyə ərzində onlar demək olar ki, 100 URL-i yoxladılar və 100 rədd cavabı aldılar.

Bu, zəiflik skanerinin tipik işidir. Məqsədli sındırma deyil, avtomatik kəşfiyyatdır. Bu cür skanerlər fasiləsiz işləyir, milyonlarla saytı gəzərək bir şeyi axtarır: açarlar, parollar və ya konfiqurasiya ilə açıq fayl, yaxud CMS-də məlum bir zəiflik. Saytın nə üzərində qurulmasının fərqi yoxdur — WordPress, Drupal, Joomla və ya xüsusi hazırlanmış mühərrik. Skaner standart lüğətə əsasən hər şeyi yoxlayır.

Multify, tərs proksi olaraq, bütün gələn trafikin öz üzərinə qəbul edir. Skaner birbaşa müştəri saytına deyil, Multify infrastrukturuna müraciət edir. Proksi qorunması, müştəri saytlarının qorunması deməkdir.

Real loqdan bir siyahı:

`` /.env /.env.production /.env.local /.env.bak /wp-config.php /config/database.php /config/secrets.yml /azure-credentials.json /gcp-credentials.json /private.key /database.sql /dump.sql ``

Bu təsadüfi bir dəst deyil, real sızmalardan tərtib edilmiş standart bir lüğətdir. Bu siyahıdakı hər bir fayl bir vaxtlar kiminsə istehsal serverində açıq şəkildə tapılmışdır.

Mühit dəyişənləri — .env faylları və onların variantları. Onlarda tərtibatçılar API açarlarını, verilənlər bazası parollarını, ödəniş sistemlərinin tokenlərini saxlayırlar. Belə bir fayl hücum edənə sındırma izləri olmadan infrastruktura tam giriş imkanı verir. GitGuardian-ın məlumatına görə, 2024-cü ildə açıq repozitoriyalarda sirlər 12 milyondan çox dəfə aşkar edilmişdir, .env ən çox rast gəlinənlər arasında ilk üçlükdədir. Tərtibatçı faylı .gitignore-a əlavə edir, lakin serverdə yerləşdirmədən sonra o, ictimai qovluqda qalır və heç kim yoxlamır.

CMS və freymvork konfiqurasiyaları — wp-config.php (WordPress), Joomla konfiqurasiyaları, Drupal, Laravel, Symfony, Rails faylları. Skaner saytın nə üzərində yazıldığını bilmir, buna görə də bütün populyar variantları ardıcıl olaraq yoxlayır.

Bulud açarları — gcp-credentials.json, azure-credentials.json, service-account.json, terraform.tfvars. Tapmaq, bütün məlumatlar və on minlərlə dollarlıq potensial hesablarla bulud hesabına girişi deməkdir.

Şifrələmə açarları — private.key, server.key, rails/master.key. Açıq özəl açar bütün trafiki deşifrə etməyə və ya imzaları saxtalaşdırmağa imkan verir.

Loqlar və Dampilər — error.log, debug.log, database.sql, dump.sql. Loqlar tez-tez istifadəçi məlumatlarını, fayl yollarını, bəzən isə açıq şəkildə parolları ehtiva edir.

İnfrastruktur Konfiqurasiyaları — nginx.conf, docker-compose.yml, web.config. Onlardan daxili şəbəkə topologiyasını öyrənmək və növbəti giriş nöqtəsini tapmaq mümkündür.

CMS Zəiflikləri — ayrıca bir kateqoriyadır. Yeni bir CVE dərc olunan kimi, skanerlər bütün saytları ardıcıl olaraq, tez-tez bir neçə saat ərzində yoxlamağa başlayırlar. Google Project Zero-nun məlumatına görə, CVE-nin dərc olunmasından ilk hücumlara qədər median 15 gündür, lakin ictimai PoC-yə malik zəifliklər üçün bu müddət bir neçə saata qədər azalıb. Hal-hazırda aktiv istismarda olan bir nümunə: CVE-2026-9082, PostgreSQL-də Drupal Core-da SQL-injektion (8.0-dan 11.3.9-a qədər versiyalar). Zəiflik Drupal-ın JSON:API vasitəsilə SQL sorğularını necə qurmasındadır: hücumçu filtr parametrində daxili SQL ilə massiv açarını ötürür, Drupal onu sorğuya sanitarizasiya etmədən daxil edir. Avtorizasiya olmadan, adi HTTP sorğusu vasitəsilə. Nəticə: verilənlər bazasının yüklənməsi, admin-hesabın yaradılması, bəzi konfiqurasiyalarda ixtiyari kodun icrası. CVSS 9.8, kritik (müqayisə üçün: 2021-ci ildə internetin yarısını çökdürən Log4Shell 10.0 aldı). Yamaq mayın 20-də çıxdı, işlək PoC bir saatdan az müddətdə GitHub-da peyda oldu. Mayın 22-də zəiflik CISA Known Exploited Vulnerabilities kataloquna əlavə edildi. İlk 48 saat ərzində 65 ölkədə təxminən 6000 saytda 15 000-dən çox istismar cəhdi qeydə alındı.

Mayın 29-da baş verən hücum məhz belə idi. WAF OWASP CRS imzaları ilə işlədi, CrowdSec hər iki IP-ni bloklanmış siyahıya əlavə etdi. Müştəri bunu bilmədi.

Skaner 90 saniyə ərzində bütün kateqoriyaları eyni anda yoxladı.

Skaner eyni anda iki ünvandan işə düşdü. Müasir skanerlər sadə sürət-limit qaydalarının həddindən aşağı qalmaq üçün yükü bir neçə IP arasında bölüşdürürlər. Əgər müdafiə “bir IP-dən dəqiqədə 10-dan çox sorğu”ya reaksiya verirsə, skaner hər birindən sadəcə 5 sorğu göndərir. Eyni zamanda, IP-lərin özləri çox vaxt real hücumçu ilə əlaqəli olmur – bunlar icarəyə götürülmüş VPS-lər, sındırılmış serverlər və ya bütün dünyada botnet maşınlarıdır. Kot-d'İvuar burada təsadüfi bir coğrafiyadır, real insanın işlədiyi yer deyil.

Loqdan maraqlı bir detal: ikinci IP-nin ilk sorğusu 200 qaytardı — skaner əvvəlcə əsas səhifəni yoxladı, saytın işlək olduğuna əmin oldu və yalnız bundan sonra axtarışa başladı. Bu, təsadüfi trafikin deyil, alətin əlamətidir.

WAF (Web Application Firewall) — tətbiq səviyyəli fayrvol. IP və portlara baxan şəbəkə fayrvolundan fərqli olaraq, WAF HTTP sorğusunun məzmununu oxuyur: URL, başlıqlar, gövdə. O, hər bir sorğunu sayta çatmazdan əvvəl təhlil edir.

Qaydaların əsası — OWASP Core Rule Set (CRS), qeyri-kommersiya OWASP fondu tərəfindən dəstəklənən açıq hücum imzaları dəsti. CRS konfiqurasiya fayllarının axtarışını, SQL inyeksiyalarını, XSS-i və digər geniş yayılmış vektorları əhatə edir. .env, .sql, .key, wp-config.php və onlarla digər genişlənmələrə edilən sorğular dərhal bloklanır. WAF faylın serverdə mövcud olub-olmadığını bilmir — o, sorğunun adına görə bloklayır və skaner hər hansı bir məlumat əldə etməzdən əvvəl rədd cavabı alır.

CrowdSec — açıq davranış analizi mühərrikidir. WAF hər sorğu ilə ayrı-ayrılıqda işləyir, CrowdSec isə ardıcıllığa baxır: bu IP son dəqiqələrdə nəyi sorğulayır.

.env-ə bir sorğu linkdə səhv ola bilər. 30 saniyə ərzində .env, .env.production, .env.local, .envrc-ə on sorğu artıq istifadəçi deyil. CrowdSec bu nümunəni ssenarilər (davranış qaydaları) vasitəsilə tanıyır və IP-ni bloklayır. Bloklanmış ünvanlar dünya üzrə minlərlə server tərəfindən istifadə olunan ümumi təhlükə bazasına daxil olur. Bir saytda aşkar edilmiş skaner dərhal hər yerdə arzuolunmaz qonağa çevrilir.

Skaner bir dəqiqə yarım ərzində standart lüğəti işlətdi və heç nə əldə etmədən getdi. Müştərinin saytı heç bir zərərli sorğu almadı.

Sayt Multify-a qoşulduqda, bütün gələn trafik proksi vasitəsilə keçir. Müştəri Multify-ı lokalizasiya üçün qoşmuşdu, müdafiə üçün yox. Lakin proksi saytın qarşısında yerləşdiyi üçün Multify infrastrukturunun bütün müdafiəsi avtomatik olaraq ona şamil edilir.

Açıq fayllar vasitəsilə sızmalar ən çox yayılmış haker hücum vektorlarından biridir. Bunlar mürəkkəb istismarlar səbəbindən deyil, banal səhvlər səbəbindən baş verir: tərtibatçı layihəni yerləşdirib .env-i silməyi unudub. Test verilənlər bazası dumpunu ictimai qovluğa qoyub. Şifrələrlə konfiqurasiyanı serverdə qoyub. Skanerlər belə faylları bir neçə saat ərzində, komandadan kimsə səhvi fərq etməzdən çox əvvəl tapır.

Əgər müştərinin saytı Drupal-da PostgreSQL ilə işləyirsə, proksi səviyyəsindəki WAF xarakterik sorğu nümunələrini bloklayır: /jsonapi-yə mürəkkəb filter-parametrləri, qeyri-standart gövdələrlə /user/login?_format=json-a sorğular. Skaner sayta çata bilmir. Lakin bu, yamaya əvəz deyil: əgər sayt proksini keçərək birbaşa əlçatandırsa, müdafiə yoxdur.

Müasir skanerlər sadə rate-limit qaydalarının həddindən aşağı qalmaq üçün sorğuları bir neçə ünvana paylayır. CrowdSec bir IP-dən gələn sorğuların sayına deyil, davranışına baxır, buna görə də bu texnika kömək etmir.

Xeyr. WAF sorğuları tətbiqə çatmazdan əvvəl yol adına görə bloklayır. Skaner faylın serverdə mövcud olub-olmadığını bilmir – o, proksi səviyyəsində rədd cavabı alır.

Məqsədyönlü hücum daha mürəkkəbdir: hücumçu hədəfi bilir, qeyri-standart vektorlardan istifadə edir və davranış nümunələrinə düşməmək üçün yavaş işləyir. WAF və CrowdSec hücum səthini azaldır, lakin yüz faiz zəmanət vermir. Kritik saytlar üçün penetrasiya testi və anomaliyaların monitorinqi lazımdır.

Xeyr. Skanerin IP-sinin geolokasiyası hücumçunun deyil, istifadə olunan maşının geolokasiyasıdır. Ölkəyə görə bloklama mənasızdır: növbəti hücum Braziliya, Hollandiya və ya Rusiyadan gələcək.