15/07/2024
Včera sa niekto vyše hodiny a pol snažil cielene hacknúť môj portál uvostat.sk. Nebol som doma za počítačom, ale chodili mi neustále maily z logov, čo sa daný útočník snažil urobiť.
Narozdiel od bežných náhodných robotických pokusov, keď vidím, že niekto skúša generické PHP diery a nepochodí, keďže uvostat nebeží na PHP, tento útok vyzeral trochu sofistikovanejšie. Niekto si musel buď zistiť na LinkedIn, alebo prečítať na blogu, že použitá databáza je PostgreSQL a cielene na ňu útočil.
Našťastie, sanitovanie používateľského vstupu je základ pri Ruby on Rails, na ktorom celý systém beží, takže väčšina pokusov na tom úspešne zhavarovala.
Najviac ma však pobavilo, ako neustále skúšal rôzne varianty injectov na kontaktnom formulári. Tam bolo tých pokusov celkovo najviac, pričom tam nemali ani teoretickú šancu, pretože celý proces v kontaktnom formulári som spravil klasickým „keep it simple, stupid“ procesom. Žiaden zápis do databázy, človek napíše odkaz a mne to rovno pošle na mail, nikam sa to neukladá.
Keď som sa konečne vrátil domov a útoky neprestávali, prestalo ma baviť sledovať, o čo všetko sa snaží, a celý subnet útočníka som zablokoval.
Toto bol asi prvý naozaj premyslený pokus o hack po toľkých rokoch automatických čínskych robotov, ktoré len skúšajú bežné PHP diery, že ma to prekvapilo, ale zároveň potešilo, že uvostat.sk ustál bez následkov a ani sa to na jeho výkone nijak nepodpísalo.