匿名ユーザー/ボットからの特権URLへの不思議な訪問
Railsアプリを管理しています。ログインと「パスワードを忘れた」を除くすべてのページには、ユーザー認証が必要です。昨日、アクセスログに次のようなエントリがあることに気付きました。
54.209.60.63 - - [03/Nov/2015:19:09:53 +0000] "GET /compendia HTTP/1.1" 302 120 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:19:09:53 +0000] "GET /login HTTP/1.1" 200 927 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:19:10:37 +0000] "GET /noumena/428 HTTP/1.1" 302 120 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:19:10:37 +0000] "GET /login HTTP/1.1" 200 928 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:19:15:11 +0000] "GET /data_ranges/1208/edit HTTP/1.1" 302 120 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:19:15:11 +0000] "GET /login HTTP/1.1" 200 926 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:20:22:01 +0000] "GET /fields/392 HTTP/1.1" 302 120 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:20:22:01 +0000] "GET /login HTTP/1.1" 200 926 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
54.209.60.63 - - [03/Nov/2015:21:55:29 +0000] "GET /users HTTP/1.1" 500 1477 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
各リクエストは、ログインページに適切にリダイレクトされました。それでも、これらのURLは認証されたユーザーに対して有効です。また、匿名ユーザーはこれらのURLを知ることができませんでした。
ここには正当なユースケースがありますか?または、ユーザーの1人が侵害されており、何らかの形でURLを漏えいしているが資格情報は漏えいしていませんか?
Amobee(旧称Kontera)のサイトに広告を表示していますか?
このIPのPTRレコードはnat.aws.kontera.comです。これは、そのURLに関連する広告を判断するためにページのコンテンツを探しているクローラーであることを示唆しています。
ログイン保護されたページにKontera JavaScriptをロードした場合、ログインしたユーザーがそれらのページにアクセスすると、それらがクロールされることがわかります。保護されたページからJavaScript呼び出しを削除して、それらのページのクロールが停止するかどうかを確認してください。
また、実際にサイトにアクセスしたユーザーに到達する前に、中間の攻撃者によってWebページにコードが追加された可能性もあります。このような攻撃は、コンテンツから収益を得るため、またはその他の理由で、ネットワークオペレーターまたは悪意のある当事者によって開始された可能性があります。
これは、 すべてのWebサイトがHTTPSで実行される必要がある である多くの理由の1つです。
インターネット上のセキュリティ保護されたアプリケーションで一般的に表示されるため、これについて心配する必要はありません。ユーザーはブックマークバーまたはブラウザの履歴からリンクにアクセスして、戻りたいページに戻ります。セッションの有効期限が切れているため、ログインページにリダイレクトされて最初にログインします。ここで心配ありません。
更新#1問題のIPをさらに調査した結果、次の点が示されました...
- IPアドレスはプロジェクトハニーポットを通じて検出されましたが、IPの訪問が問題を引き起こしていないため、無害なWebクローラーとして分類されました。 http://www.projecthoneypot.org/ip_54.209.60.6
- AbuseIPデータベースの一部のユーザーは、Web of Trustを削除すると接続が停止したと報告していますが、WebブラウザーではなくWebサーバーに対して接続が行われ、WoTがWebサイトを評価するために人間の評価を使用しているため、これは確認できません。 https://www.abuseipdb.com/check/54.209.60.6
https://www.mywot.com/en/support/how-wot-works - IPは、2015年3月にBadIPのWebサイトに悪意のあるWebサイトとしてリストされています。 https://www.badips.com/info/54.209.60.6
IPアドレス54.209.60.63に関するこれらの悪用レポートのいずれも、実際にはWebサーバーに対して悪意のある操作が行われたとは言えないという事実に基づいており、Project Honeypotでさえ、それがWebクローラーであり、悪意のあるマシンではないことを確認しているため、心配する必要はありません。
また、IPアドレスはAmazonの問題のあるアカウントから非アクティブ化されており、問題の元のEC2インスタンスに割り当てられなくなっているため、このIPアドレスからのそれ以上の問題はないはずです。