Hujumni tahlil qilish: Multify proksi-serveriga qarshi zaiflik skaneri

2026-yil 29-may, 17:04. Kot-d’Ivuar’dan ikkita IP-manzil Multify proksi-serveriga ulandi. Keyingi 90 soniya ichida ular deyarli 100 ta URLni sinab ko‘rishdi va 100 ta rad javobini olishdi.

Bu zaiflik skanerining odatiy ishi. Maqsadli buzish emas, balki avtomatik razvedka. Bunday skanerlar doimiy ravishda ishlaydi, millionlab saytlarni qidirib topadi: kalitlar, parollar yoki konfiguratsiyalar bilan ochiq fayl yoki CMSdagi ma’lum zaiflik. Sayt nima asosida qurilgani muhim emas — WordPress, Drupal, Joomla yoki o‘z-o‘zidan yozilgan dvigatel. Skaner standart lug‘at bo‘yicha hamma narsani tekshiradi.

Multify teskari proksi sifatida barcha kiruvchi trafikni oʻziga qabul qiladi. Skaner toʻgʻridan-toʻgʻri mijoz saytiga emas, balki Multify infratuzilmasiga murojaat qiladi. Proksi himoyasi — bu mijoz saytlarini himoya qilishdir.

Mana haqiqiy logdan olingan roʻyxat:

`` /.env /.env.production /.env.local /.env.bak /wp-config.php /config/database.php /config/secrets.yml /azure-credentials.json /gcp-credentials.json /private.key /database.sql /dump.sql ``

Bu tasodifiy toʻplam emas, balki haqiqiy sizib chiqishlardan tuzilgan standart lugʻatdir. Ushbu roʻyxatdagi har bir fayl qachondir kimningdir ishlab chiqarish serverida ochiq kirishda topilgan.

Atrof-muhit oʻzgaruvchilari — .env fayllari va ularning variantlari. Ishlab chiquvchilar ularda API kalitlari, ma'lumotlar bazasi parollari, to'lov tizimlari tokenlarini saqlaydilar. Bunday fayl hujumchiga hech qanday buzish izlarisiz infratuzilmaga to'liq kirish imkonini beradi. GitGuardian ma'lumotlariga ko'ra, 2024-yilda ommaviy repozitoriylarda sirlar 12 million martadan ortiq topilgan, .env eng ko'p uchraydigan uchlikka kiradi. Ishlab chiquvchi faylni .gitignore-ga qo'shadi, ammo serverda joylashtirilgandan so'ng u ommaviy katalogda qoladi va hech kim tekshirmaydi.

CMS va freymvork konfiguratsiyalari — wp-config.php (WordPress), Joomla, Drupal konfiguratsiyalari, Laravel, Symfony, Rails fayllari. Skaner sayt nima asosida yozilganini bilmaydi, shuning uchun barcha mashhur variantlarni ketma-ket tekshiradi.

Bulutli kalitlar — gcp-credentials.json, azure-credentials.json, service-account.json, terraform.tfvars. Kirish barcha ma'lumotlar va o'n minglab dollarlik potentsial hisoblar bilan bulutli hisobga kirishni anglatadi.

Shifrlash kalitlari — private.key, server.key, rails/master.key. Ochiq shaxsiy kalit barcha trafikni shifrdan chiqarish yoki imzolarni soxtalashtirish imkonini beradi.

Loglar va damplar — error.log, debug.log, database.sql, dump.sql. Loglar ko'pincha foydalanuvchi ma'lumotlarini, fayl yo'llarini, ba'zan esa ochiq matnda parollarni o'z ichiga oladi.

Infratuzilma konfiguratsiyalari — nginx.conf, docker-compose.yml, web.config. Ulardan tarmoqning ichki topologiyasini bilib olish va keyingi kirish nuqtasini topish mumkin.

CMS zaifliklari — alohida kategoriya. Yangi CVE e'lon qilinishi bilanoq, skanerlar barcha saytlarni birin-ketin, ko'pincha bir necha soat ichida tekshirishni boshlaydi. Google Project Zero ma'lumotlariga ko'ra, CVE e'lon qilinganidan birinchi hujumlargacha bo'lgan o'rtacha vaqt 15 kunni tashkil etadi, ammo ommaviy PoCga ega zaifliklar uchun bu vaqt bir necha soatgacha qisqardi. Hozirda faol foydalanilayotgan misol: CVE-2026-9082, PostgreSQL'dagi Drupal Core'da SQL-in'ektsiya (8.0 dan 11.3.9 gacha versiyalar). Drupal SQL so'rovlarini JSON:API orqali qanday tuzishida zaiflik bor: hujumchi filtr parametriga ichki SQL bilan massiv kalitini uzatadi, Drupal uni so'rovga sanitizatsiyasiz kiritadi. Avtorizatsiyasiz, oddiy HTTP so'rovi orqali. Natija: ma'lumotlar bazasini yuklab olish, admin-akkaunt yaratish, ba'zi konfiguratsiyalarda ixtiyoriy kodni bajarish. CVSS 9.8, kritik (taqqoslash uchun: 2021 yilda internetning yarmini ishdan chiqargan Log4Shell 10.0 ball oldi). Patch 20-may kuni chiqdi, ishlaydigan PoC bir soatdan kamroq vaqt ichida GitHub'da paydo bo'ldi. 22-may kuni zaiflik CISA Known Exploited Vulnerabilities katalogiga qo'shildi. Dastlabki 48 soat ichida 65 mamlakatdagi deyarli 6 000 saytda 15 000 dan ortiq ekspluatatsiya urinishlari qayd etildi.

29-maydagi hujum aynan shunday bo'ldi. WAF OWASP CRS imzolari bo'yicha ishladi, CrowdSec ikkala IP-ni bloklanganlar ro'yxatiga qo'shdi. Mijoz bu haqda bilmadi.

Skaner barcha toifalar bo'yicha bir vaqtning o'zida, 90 soniya ichida o'tdi.

Skaner bir vaqtning o'zida ikkita manzildan ishga tushdi. Zamonaviy skanerlar oddiy tezlikni cheklovchi qoidalar chegarasidan pastroqda qolish uchun yukni bir nechta IP-manzillar bo'yicha taqsimlaydi. Agar himoya "bir IP-dan daqiqada 10 dan ortiq so'rov" ga javob bersa, skaner har biridan 5 tadan so'rov yuboradi. Shu bilan birga, IP-manzillarning o'zlari ko'pincha haqiqiy hujumchiga aloqador emas - bular ijaraga olingan VPS, buzilgan serverlar yoki butun dunyo bo'ylab botnet mashinalari. Kot-d'Ivuar bu yerda tasodifiy geografiya, haqiqiy odam ishlaydigan joy emas.

Logdagi qiziqarli tafsilot: ikkinchi IP-ning birinchi soʻrovi 200 ni qaytardi — skaner avval bosh sahifani tekshirdi, saytning ishlashiga ishonch hosil qildi va shundan keyingina qayta tekshirishni boshladi. Bu tasodifiy trafik emas, balki vositaning belgisidir.

WAF (Web Application Firewall) — ilova darajasidagi fayrvoll. IP va portlarga qaraydigan tarmoq fayrvollidan farqli oʻlaroq, WAF HTTP-soʻrovning tarkibini oʻqiydi: URL, sarlavhalar, tana. U har bir soʻrovni saytga yetib borguncha tahlil qiladi.

Qoidalar asosi — OWASP Core Rule Set (CRS), OWASP notijorat fondi tomonidan qo'llab-quvvatlanadigan hujum imzolarning ochiq to'plami. CRS konfiguratsiya fayllarini, SQL-in'ektsiyalarni, XSS va boshqa keng tarqalgan vektorlarni qamrab oladi. .env, .sql, .key, wp-config.php va o'nlab boshqa kengaytmalariga so'rovlar darhol bloklanadi. WAF fayl serverda mavjudligini bilmaydi — u so'rov nomiga qarab bloklaydi va skaner biror narsa bilishga ulgurmasdan rad javobini oladi.

CrowdSec — ochiq xulq-atvor tahlili dvigateli. WAF har bir so'rov bilan alohida ishlaydi, CrowdSec ketma-ketlikni ko'rib chiqadi: bu IP so'nggi daqiqalarda aynan nimani so'rayapti.

.env ga bitta soʻrov havoladagi xato boʻlishi mumkin. 30 soniya ichida .env, .env.production, .env.local, .envrc ga oʻnta soʻrov – bu endi foydalanuvchi emas. CrowdSec ushbu naqshni stsenariylar (xulq-atvor qoidalari) boʻyicha aniqlaydi va IP-ni bloklaydi. Bloklangan manzillar butun dunyo boʻylab minglab serverlar foydalanadigan umumiy tahdidlar bazasiga tushadi. Bir saytda aniqlangan skaner darhol hamma joyda istalmagan mehmon boʻladi.

Skaner standart lug'atni bir yarim daqiqada tekshirib chiqdi va hech narsasiz qaytdi. Mijoz sayti biron bir zararli so'rovni qabul qilmadi.

Sayt Multify'ga ulanganda, barcha kiruvchi trafik proksi orqali o'tadi. Mijoz Multify'ni himoya qilish uchun emas, balki lokalizatsiya uchun ulagan edi. Ammo proksi sayt oldida turganligi sababli, Multify infratuzilmasining barcha himoyasi avtomatik ravishda unga ham taalluqli bo'ladi.

Ochiq fayllar orqali sizib chiqish – buzishning eng keng tarqalgan usullaridan biridir. Bu murakkab ekspluatatsiyalar tufayli emas, balki oddiy xatolar tufayli sodir bo'ladi: dasturchi loyihani joylashtirgan va .env faylini olib tashlashni unutgan. Test ma'lumotlar bazasi damini ommaviy papkaga joylashtirgan. Serverda parollar bilan konfiguratsiyani qoldirgan. Skanerlar bunday fayllarni bir necha soat ichida, jamoaning kimdir xatoni sezishidan ancha oldin topadi.

Agar mijozning sayti PostgreSQL bilan Drupal-da ishlasa, proksi darajasidagi WAF so'rovlarning xarakterli naqshlarini bloklaydi: /jsonapi-ga murakkab filter-parametrlari, nostandart tanali /user/login?_format=json-ga so'rovlar. Skaner saytga yetib bormaydi. Ammo bu patchni almashtirish emas: agar sayt proksini chetlab o'tib to'g'ridan-to'g'ri mavjud bo'lsa, himoya yo'q.

Zamonaviy skanerlar oddiy rate-limit qoidalarining chegarasidan pastda qolish uchun so'rovlarni bir nechta manzillarga taqsimlaydi. CrowdSec bitta IP-dan kelgan so'rovlar soniga emas, balki xatti-harakatlarga qaraydi, shuning uchun bunday texnika yordam bermaydi.

Yoʻq. WAF soʻrovlarni dasturga yetib borguncha yoʻl nomi boʻyicha bloklaydi. Skaner serverda fayl mavjudligini bilmaydi — u proksi darajasida rad javobini oladi.

Maqsadli hujum murakkabroq: hujumchi maqsadni biladi, nostandart vektorlardan foydalanadi va xulq-atvor naqshlariga tushmaslik uchun sekin ishlaydi. WAF va CrowdSec hujum yuzasini kamaytiradi, ammo yuz foiz kafolat bermaydi. Muhim saytlar uchun penetratsion test va anomaliyalarni monitoring qilish kerak.

Yo'q. Skaner IP-geolokatsiyasi – bu hujum qiluvchining emas, balki foydalanilayotgan mashinaning geolokatsiyasi. Mamlakat bo'yicha bloklash befoyda: keyingi hujum Braziliya, Niderlandiya yoki Rossiyadan keladi.