Estou usando um servidor NGINX para hospedar um site estático exposto à Internet aberta. Ao examinar os logs de acesso, me deparei com um conjunto de solicitações de recursos que terminam com .env
, por exemplo:
"OBTER /bedesk1.1/.env HTTP/1.1"
"OBTER /test/bedesk1.1/.env HTTP/1.1"
"OBTER /.env HTTP/1.1"
"OBTER /.env.local HTTP/1.1"
"OBTER /database/.env HTTP/1.1"
"OBTER /public/.env HTTP/1.1"
"OBTER /admin/.env HTTP/1.1"
"OBTER /api/.env HTTP/1.1"
"OBTER /API/.env HTTP /1.1"
"OBTER /blog/.env HTTP/1.1"
"OBTER /.env.backup HTTP/1.1"
"OBTER /.env.save HTTP/1.1"
"OBTER /app/.env HTTP/1.1"
"OBTER / dev/.env HTTP/1.1"
"OBTER /env/.env HTTP/1.1"
"OBTER /core/.env HTTP/1.1"
Presumo que este seja um rastreador da Web com script que procura .env
arquivos em caminhos de recursos comumente usados.
- Alguém tem alguma ideia do que estava procurando?
- O que eles esperariam fazer com essa informação se a tivessem encontrado?
- Sob quais circunstâncias esses recursos realmente existiriam e seriam acessíveis na web?
Eles estavam procurando por
.env
arquivos , geralmente contendo variáveis de ambiente usadas, por exemplo, em implantações do Docker. Esses arquivos normalmente contêm credenciais para bancos de dados e assim por diante e, portanto, seriam de grande interesse para qualquer invasor.Esses arquivos normalmente NÃO deveriam estar acessíveis na web, mas configurações incorretas acontecem o tempo todo...