Hujumni tahlil qilish: zaiflik skaneri Multify proksisiga qarshi

2026-yil 29-may, 17:04. Kot-d’Ivuar’dan ikkita IP-manzil Multify proksi-serveriga ulandi. Keyingi 90 soniya ichida ular deyarli 100 ta URLni koʻrib chiqdilar va 100 ta rad javobini oldilar.

Bu zaiflik skanerining odatiy ishi. Maqsadli buzish emas, balki avtomatik razvedka. Bunday skanerlar doimiy ravishda ishlaydi, millionlab saytlarni bitta narsani qidirib chiqadi: kalitlar, parollar yoki konfiguratsiya bilan ochiq fayl, yoki CMSdagi maʼlum zaiflik. Sayt nima asosida qurilganligi muhim emas — WordPress, Drupal, Joomla yoki oʻz-oʻzidan yozilgan dvigatel. Skaner standart lugʻat boʻyicha hamma narsani tekshiradi.

Multify teskari proksi sifatida barcha kiruvchi trafikni oʻziga qabul qiladi. Skaner toʻgʻridan-toʻgʻri mijoz saytiga emas, balki Multify infratuzilmasiga murojaat qiladi. Proksi himoyasi — bu mijoz saytlarini himoya qilishdir.

Mana haqiqiy logdan olingan roʻyxat:

`` /.env /.env.production /.env.local /.env.bak /wp-config.php /config/database.php /config/secrets.yml /azure-credentials.json /gcp-credentials.json /private.key /database.sql /dump.sql ``

Bu tasodifiy toʻplam emas, balki haqiqiy sizib chiqishlardan tuzilgan standart lugʻatdir. Ushbu roʻyxatdagi har bir fayl qachondir kimningdir ishlab chiqarish serverida ochiq kirishda topilgan.

Atrof-muhit oʻzgaruvchilari — .env fayllari va ularning variantlari. Ularda dasturchilar API kalitlarini, maʼlumotlar bazasi parollarini, toʻlov tizimlari tokenlarini saqlaydilar. Bunday fayl hujumchiga buzish izlarisiz infratuzilmaga toʻliq kirish imkoniyatini beradi. GitGuardian maʼlumotlariga koʻra, 2024-yilda ochiq repozitoriylarda sirlar 12 million martadan ortiq topilgan, .env eng koʻp uchraydigan uchlikka kiradi. Dasturchi faylni .gitignorega qoʻshadi, ammo serverda joylashtirilgandan soʻng u ochiq katalogda qoladi va hech kim tekshirmaydi.

CMS va freymvork konfiguratsiyalari — wp-config.php (WordPress), Joomla, Drupal konfiguratsiyalari, Laravel, Symfony, Rails fayllari. Skaner sayt nima asosida yozilganini bilmaydi, shuning uchun barcha mashhur variantlarni ketma-ket tekshiradi.

Bulutli kalitlar — gcp-credentials.json, azure-credentials.json, service-account.json, terraform.tfvars. Kirish barcha ma'lumotlar va o'n minglab dollarlik potentsial hisoblar bilan bulutli hisobga kirishni anglatadi.

Shifrlash kalitlari — private.key, server.key, rails/master.key. Ochiq shaxsiy kalit barcha trafikni shifrdan chiqarish yoki imzolarni soxtalashtirish imkonini beradi.

Loglar va damplar — error.log, debug.log, database.sql, dump.sql. Loglar ko'pincha foydalanuvchi ma'lumotlarini, fayl yo'llarini, ba'zan esa ochiq matnda parollarni o'z ichiga oladi.

Infratuzilma konfiguratsiyalari — nginx.conf, docker-compose.yml, web.config. Ulardan tarmoqning ichki topologiyasini bilib olish va keyingi kirish nuqtasini topish mumkin.

CMS zaifliklari — alohida kategoriya. Yangi CVE e'lon qilinishi bilanoq, skanerlar barcha saytlarni ketma-ket, ko'pincha bir necha soat ichida tekshirishni boshlaydi. Google Project Zero ma'lumotlariga ko'ra, CVE e'lon qilinganidan birinchi hujumlarga qadar o'rtacha vaqt 15 kunni tashkil etadi, ammo ommaviy PoCga ega zaifliklar uchun bu vaqt bir necha soatgacha qisqardi. Hozirda faol foydalanilayotgan misol: CVE-2026-9082, PostgreSQL'dagi Drupal Core'da SQL-in'ektsiya (8.0 dan 11.3.9 gacha versiyalar). Zaiflik Drupalning JSON:API orqali SQL so'rovlarini qanday tuzishida: hujumchi filtr parametriga ichki SQL bilan massiv kalitini uzatadi, Drupal uni so'rovga sanitizatsiyasiz kiritadi. Avtorizatsiyasiz, oddiy HTTP so'rovi orqali. Natija: ma'lumotlar bazasini yuklab olish, admin-akkaunt yaratish, ba'zi konfiguratsiyalarda ixtiyoriy kodni bajarish. CVSS 9.8, kritik (taqqoslash uchun: 2021 yilda internetning yarmini ishdan chiqargan Log4Shell 10.0 ball oldi). Patch 20 mayda chiqdi, ishlaydigan PoC GitHub'da bir soatdan kamroq vaqt ichida paydo bo'ldi. 22 mayda zaiflik CISA Known Exploited Vulnerabilities katalogiga qo'shildi. Dastlabki 48 soat ichida 65 mamlakatdagi deyarli 6 000 saytda 15 000 dan ortiq ekspluatatsiya urinishlari qayd etildi.

29-maydagi hujum aynan shunday bo'ldi. WAF OWASP CRS imzolari bo'yicha ishladi, CrowdSec ikkala IP-ni bloklanganlar ro'yxatiga qo'shdi. Mijoz bu haqda bilmadi.

Skaner barcha toifalar bo'yicha bir vaqtning o'zida, 90 soniya ichida o'tdi.

Skaner bir vaqtning o'zida ikkita manzildan ishga tushirildi. Zamonaviy skanerlar oddiy tezlikni cheklash qoidalarining chegarasidan pastda qolish uchun yukni bir nechta IP-lar bo'yicha taqsimlaydi. Agar himoya «bitta IP-dan daqiqada 10 dan ortiq so'rov» ga ishlasa, skaner har biridan 5 tadan so'rov yuboradi. Shu bilan birga, IP-larning o'zlari ko'pincha haqiqiy hujumchiga aloqador emas — bular ijaraga olingan VPS, buzilgan serverlar yoki butun dunyo bo'ylab botnet-mashinalar. Kot-d'Ivuar bu yerda tasodifiy geografiya, haqiqiy odam ishlaydigan joy emas.

Logdan qiziqarli tafsilot: ikkinchi IP-ning birinchi so'rovi 200 ni qaytardi — skaner avval bosh sahifani tekshirdi, saytning ishlashiga ishonch hosil qildi va shundan keyingina tanlashni boshladi. Bu tasodifiy trafik emas, balki vositaning belgisidir.

WAF (Web Application Firewall) — ilova darajasidagi fayrvoll. IP va portlarga qaraydigan tarmoq fayrvollidan farqli oʻlaroq, WAF HTTP-soʻrovning tarkibini oʻqiydi: URL, sarlavhalar, tana. U har bir soʻrovni saytga yetib borguncha tahlil qiladi.

Qoidalar asosi — OWASP Core Rule Set (CRS), OWASP notijorat fondi tomonidan qoʻllab-quvvatlanadigan hujum signallarining ochiq toʻplami. CRS konfiguratsiya fayllarini qayta tekshirish, SQL-in'eksiyalar, XSS va boshqa keng tarqalgan vektorlarni qamrab oladi. .env, .sql, .key, wp-config.php va oʻnlab boshqa kengaytmalariga soʻrovlar darhol bloklanadi. WAF fayl serverda mavjudligini bilmaydi — u soʻrov nomi boʻyicha bloklaydi va skaner biror narsa bilishga ulgurmasdan rad javobini oladi.

CrowdSec – ochiq xulq-atvor tahlili dvigateli. WAF har bir soʻrov bilan alohida ishlaydi, CrowdSec ketma-ketlikni koʻrib chiqadi: ushbu IP soʻnggi daqiqalarda aynan nimani soʻrayapti.

.env ga bitta soʻrov havoladagi xato boʻlishi mumkin. 30 soniya ichida .env, .env.production, .env.local, .envrc ga oʻnta soʻrov – bu endi foydalanuvchi emas. CrowdSec ushbu naqshni stsenariylar (xulq-atvor qoidalari) boʻyicha aniqlaydi va IP-ni bloklaydi. Bloklangan manzillar butun dunyo boʻylab minglab serverlar foydalanadigan umumiy tahdidlar bazasiga tushadi. Bir saytda aniqlangan skaner darhol hamma joyda istalmagan mehmon boʻladi.

Skaner bir yarim daqiqa ichida standart lugʻatni ishlatib, hech narsasiz ketdi. Mijozning sayti bitta ham zararli soʻrov olmadi.

Sayt Multify ga ulanganda, barcha kiruvchi trafik proksi orqali oʻtadi. Mijoz Multify ni himoya qilish uchun emas, balki lokalizatsiya qilish uchun ulagan edi. Ammo proksi sayt oldida turgani uchun, Multify infratuzilmasining barcha himoyasi avtomatik ravishda unga ham tegishli boʻladi.

Ochiq fayllar orqali sizish – buzishning eng keng tarqalgan usullaridan biri. Bu murakkab ekspluatatsiyalar tufayli emas, balki oddiy xatolar tufayli sodir bo'ladi: dasturchi loyihani joylashtirgan va .env-ni olib tashlashni unutgan. Test ma'lumotlar bazasi damini ommaviy papkaga joylashtirgan. Serverda parollar bilan konfiguratsiyani qoldirgan. Skanerlar bunday fayllarni bir necha soat ichida, jamoaning kimdir xatoni sezishidan ancha oldin topadi.

Agar mijozning sayti PostgreSQL bilan Drupal-da ishlasa, proksi darajasidagi WAF so'rovlarning xarakterli naqshlarini bloklaydi: /jsonapi-ga murakkab filter-parametrlari, nostandart tanali /user/login?_format=json-ga so'rovlar. Skaner saytga yetib bormaydi. Ammo bu patchni almashtirish emas: agar sayt proksini chetlab o'tib to'g'ridan-to'g'ri mavjud bo'lsa, himoya yo'q.

Zamonaviy skanerlar oddiy rate-limit qoidalarining chegarasidan pastda qolish uchun so'rovlarni bir nechta manzillarga taqsimlaydi. CrowdSec bitta IP-dan kelgan so'rovlar soniga emas, balki xatti-harakatlarga qaraydi, shuning uchun bunday texnika yordam bermaydi.

Yo'q. WAF so'rovlarni dasturga yetib borguncha yo'l nomi bo'yicha bloklaydi. Skaner fayl serverda mavjudligini bilmaydi – u proksi darajasida rad javobini oladi.

Maqsadli hujum murakkabroq: hujumchi maqsadni biladi, nostandart vektorlardan foydalanadi va xatti-harakat naqshlariga tushmaslik uchun sekin ishlaydi. WAF va CrowdSec hujum yuzasini kamaytiradi, ammo yuz foiz kafolat bermaydi. Muhim saytlar uchun penetratsion test va anomaliyalarni monitoring qilish kerak.

Yoʻq. Skaner IPining geolokatsiyasi – bu hujumchining emas, balki foydalanilayotgan mashinaning geolokatsiyasi. Mamlakat boʻyicha bloklash befoyda: keyingi hujum Braziliya, Niderlandiya yoki Rossiyadan keladi.