Чабуулду талдоо: аялуу жерлерди сканерлөө Multify проксисине каршы

2026-жылдын 29-майы, саат 17:04. Кот-д'Ивуардан эки IP-дарек Multify прокси-серверине туташты. Кийинки 90 секундада алар дээрлик 100 URL дарегин текшерип, 100 жолу баш тартуу алышты.

Бул аялуу жерлерди сканерлөөнүн типтүү иши. Максаттуу бузуу эмес, автоматтык чалгындоо. Мындай сканерлер тынымсыз иштеп, миллиондогон сайттарды бир нерсени издеп кыдырышат: ачкычтар, сырсөздөр же конфигурациялар менен ачык файлды, же CMSдеги белгилүү аялуу жерди. Сайт эмнеде турганы маанилүү эмес – WordPress, Drupal, Joomla же кол менен жазылган кыймылдаткыч. Сканер стандарттуу сөздүк боюнча бардыгын текшерет.

Multify тескери прокси катары бардык кирүүчү трафикти өзүнө алат. Сканер Multify инфраструктурасына кирет, кардардын сайтына түз эмес. Прокси коргоосу – бул кардар сайттарын коргоо.

Бул жерде чыныгы логдон алынган тизме:

`` /.env /.env.production /.env.local /.env.bak /wp-config.php /config/database.php /config/secrets.yml /azure-credentials.json /gcp-credentials.json /private.key /database.sql /dump.sql ``

Бул кокустук топтом эмес, чыныгы агып кетүүлөрдөн түзүлгөн стандарттуу сөздүк. Бул тизмедеги ар бир файл бир кезде кимдир бирөөнүн өндүрүш серверинде ачык жеткиликтүү болгон.

Чөйрө өзгөрмөлөрү – .env файлдары жана алардын варианттары. Аларда иштеп чыгуучулар API ачкычтарын, маалымат базасынын сырсөздөрүн, төлөм системаларынын токендерин сакташат. Мындай бир файл чабуулчуга бузуунун эч кандай изи жок инфраструктурага толук мүмкүнчүлүк берет. GitGuardian маалыматы боюнча, 2024-жылы ачык репозиторийлерде сырлар 12 миллиондон ашык жолу табылган, .env эң көп кездешкен үчөөнүн бири. Иштеп чыгуучу файлды .gitignoreга кошот, бирок серверде жайгаштырылгандан кийин ал ачык каталогдо калат жана эч ким текшербейт.

CMS жана фреймворктордун конфигурациялары — wp-config.php (WordPress), Joomla, Drupal конфигурациялары, Laravel, Symfony, Rails файлдары. Сканер сайт эмнеде жазылганын билбейт, ошондуктан бардык популярдуу варианттарды удаалаш текшерет.

Булут ачкычтары — gcp-credentials.json, azure-credentials.json, service-account.json, terraform.tfvars. Бул файлдардын табылышы булут аккаунтуна бардык маалыматтар жана он миңдеген долларлык потенциалдуу эсептер менен кирүү мүмкүнчүлүгүн билдирет.

Шифрлөө ачкычтары — private.key, server.key, rails/master.key. Ачык жеке ачкыч бардык трафикти чечмелөөгө же кол тамгаларды жасалмалоого мүмкүндүк берет.

Логдор жана дампылар — error.log, debug.log, database.sql, dump.sql. Логдор көбүнчө колдонуучулардын маалыматтарын, файл жолдорун, кээде ачык сырсөздөрдү камтыйт.

Инфраструктуранын конфигурациялары — nginx.conf, docker-compose.yml, web.config. Булардан тармактын ички топологиясын билип, кийинки кирүү чекитин табууга болот.

CMS алсыздыктары — өзүнчө категория. Жаңы CVE жарыялангандан кийин, сканерлер бардык сайттарды удаалаш, көбүнчө бир нече сааттын ичинде текшере башташат. Google Project Zero маалыматы боюнча, CVE жарыялангандан биринчи чабуулдарга чейинки орточо убакыт — 15 күн, бирок ачык PoC бар алсыздыктар үчүн бул убакыт бир нече саатка чейин кыскарган. Учурда активдүү колдонулуп жаткан мисал: CVE-2026-9082, PostgreSQL'деги Drupal Core'догу SQL-инъекция (8.0ден 11.3.9га чейинки версиялар). Алсыздык Drupal'дын JSON:API аркылуу SQL сурамдарын кантип курганында: чабуулчу фильтр параметрине уяланган SQL менен массив ачкычын берет, Drupal аны сурамга санитардык тазалоосуз киргизет. Авторизациясыз, кадимки HTTP-сурам аркылуу. Натыйжасы: маалымат базасын жүктөө, админ-аккаунт түзүү, кээ бир конфигурацияларда каалаган кодду аткаруу. CVSS 9.8, критикалык (салыштыруу үчүн: 2021-жылы интернеттин жарымын иштебей калган Log4Shell 10.0 алган). Патч 20-майда чыккан, иштеген PoC GitHub'да бир сааттан аз убакытта пайда болгон. 22-майда алсыздык CISA Known Exploited Vulnerabilities каталогуна кошулган. Алгачкы 48 саатта 65 өлкөдөгү дээрлик 6 000 сайтта 15 000ден ашык эксплуатациялоо аракети катталган.

29-майдагы чабуул дал ушундай болгон. WAF OWASP CRS кол тамгалары боюнча иштеди, CrowdSec эки IP дарегин тең бөгөттөлгөн тизмеге кошту. Кардар бул тууралуу билген жок.

Сканер бардык категорияларды бир эле учурда 90 секундада текшерди.

Сканер эки даректен бир убакта ишке киргизилген. Заманбап сканерлер жөнөкөй rate-limit эрежелеринин босогосунан төмөн болуу үчүн жүктү бир нече IP даректерге бөлүштүрүшөт. Эгерде коргоо «бир IP даректен мүнөтүнө 10дон ашык сурам» дегенге иштесе, сканер ар биринен 5тен гана сурам жөнөтөт. Ошол эле учурда, IP даректер көбүнчө чыныгы чабуулчуга тиешеси жок – бул ижарага алынган VPS, бузулган серверлер же дүйнө жүзү боюнча ботнет-машиналар. Кот-д'Ивуар бул жерде кокустук география, ал эми адам иш жүзүндө иштеген жер эмес.

Журналдан кызыктуу деталь: экинчи IP даректин биринчи сурамы 200 кайтарды – сканер адегенде башкы баракчаны текшерип, сайттын иштеп жатканына ынанып, андан кийин гана кайталоону баштаган. Бул кокустук трафиктин эмес, куралдын белгиси.

WAF (Web Application Firewall) — тиркеме деңгээлиндеги файрвол. IP жана портторду караган тармактык файрволдон айырмаланып, WAF HTTP суроосунун мазмунун окуйт: URL, аталыштар, дене. Ал ар бир суроону сайтка жеткенге чейин талдайт.

Эрежелердин негизи — OWASP Core Rule Set (CRS), коммерциялык эмес OWASP фонду тарабынан колдоого алынган ачык чабуул сигнатураларынын топтому. CRS конфигурация файлдарын кайталоону, SQL-инъекцияларды, XSS жана башка кеңири таралган векторлорду камтыйт. .env, .sql, .key, wp-config.php жана ондогон башка кеңейтүүлөргө суроолор дароо бөгөттөлөт. WAF файл серверде бар же жок экенин билбейт — ал суроонун аты боюнча бөгөттөйт, жана сканер бир нерсени билгенге чейин баш тартууну алат.

CrowdSec — ачык жүрүм-турум анализинин кыймылдаткычы. WAF ар бир суроо-талап менен өзүнчө иштейт, CrowdSec ырааттуулукту карайт: бул IP акыркы мүнөттөрдө эмнени сурап жатат.

.env файлына бир суроо шилтемедеги ката болушу мүмкүн. 30 секунда ичинде .env, .env.production, .env.local, .envrc файлдарына он суроо — бул колдонуучу эмес. CrowdSec бул үлгүнү сценарийлер (жүрүм-турум эрежелери) аркылуу таанып, IP дарегин бөгөттөйт. Бөгөттөлгөн даректер дүйнө жүзү боюнча миңдеген серверлер колдонгон жалпы коркунуч базасына кирет. Бир сайтта аныкталган сканер дароо бардык жерде керексиз конок болуп калат.

Сканер стандарттуу сөздүктү бир жарым мүнөттө иштетип, эч нерсе тапкан жок. Кардардын сайтына бир дагы зыяндуу суроо-талап келген жок.

Сайт Multifyга туташканда, бардык кирүүчү трафик прокси аркылуу өтөт. Кардар Multifyды коргоо үчүн эмес, локализациялоо үчүн туташтырган. Бирок прокси сайттын алдында тургандыктан, Multify инфраструктурасынын бардык коргоосу автоматтык түрдө ага жайылтылат.

Ачык файлдар аркылуу маалыматтардын агып кетиши — бузуунун эң көп кездешүүчү векторлорунун бири. Алар татаал эксплойттордон эмес, жөнөкөй каталардан улам пайда болот: иштеп чыгуучу долбоорду жайгаштырып, .env файлын алып салууну унутуп калган. Тесттик базанын дампын жалпы папкага жайгаштырган. Серверде сырсөздөрү бар конфигурацияны калтырган. Сканерлер мындай файлдарды командадан кимдир бирөө катаны байкаганга чейин бир нече сааттын ичинде таап алышат.

Эгер кардардын сайты Drupalда PostgreSQL менен иштесе — прокси деңгээлиндеги WAF мүнөздүү суроо-талаптардын үлгүлөрүн бөгөттөйт: /jsonapiге татаал filter-параметрлер, /user/login?_format=jsonго стандарттуу эмес денелер менен суроо-талаптар. Сканер сайтка жетпейт. Бирок бул патчты алмаштыруу эмес: эгер сайт проксиди айланып өтүп түз жеткиликтүү болсо, коргоо жок.

Заманбап сканерлер жөнөкөй rate-limit эрежелеринин босогосунан төмөн болуу үчүн суроо-талаптарды бир нече даректерге бөлүштүрөт. CrowdSec бир IPден келген суроо-талаптардын санына эмес, жүрүм-турумуна карайт, ошондуктан мындай ыкма жардам бербейт.

Жок. WAF сурамдарды колдонмого жеткенге чейин жолдун аталышы боюнча бөгөттөйт. Сканер файл серверде бар же жок экенин билбейт — ал прокси деңгээлинде баш тартууну алат.

Максаттуу чабуул татаалыраак: чабуулчу максатты билет, стандарттуу эмес векторлорду колдонот жана жүрүм-турум үлгүлөрүнө кирбөө үчүн жай иштейт. WAF жана CrowdSec чабуулдун бетин азайтат, бирок жүз пайыз кепилдик бербейт. Критикалык сайттар үчүн penetration test жана аномалияларды мониторингдөө керек.

Жок. Сканердин IP геолокациясы — бул колдонулган машинанын геолокациясы, чабуулчунун эмес. Өлкө боюнча бөгөттөө маанисиз: кийинки чабуул Бразилиядан, Нидерландыдан же Россиядан келет.