今回のCIPブログ投稿では、Criminal IPを活用して 漏洩されたNGINX設定ファイル を見つける方法を調べたいと思います
NGINX設定ファイル とは?
NGINXは、ウェブサーバーの種類の1つで、Apacheとともに最も多く使われるサーバーです。特に、今一番トラフィックが多いサイトのNetflixやDropboxなど、並べるのも難しいほど、かなり多くの有名サイトがNGINXを利用しています。NGINXの設定ファイルはNGINXサーバーを設定する形のガイドが書いてあるファイルで当該サーバーについての情報がありますが、ここにはハッキングの手がかりになる敏感な情報が含まれている可能性があります。
NGINXウェブサーバーの基本設定ファイル名は"nginx.conf"で、IT資産検索で当該キーワードを検索して設定ファイルを探せます。特に、"nginx.conf"キーワードに"title: index of"のフィルターを加えて検索すると、画像のようにディレクトリインデックスの脆弱性のあるサイトでnginx.confのファイルを探せます。
"nginx.conf" title: "Index of "
Criminal IPのIT資産検索で"nginx.conf" title: "Index of "を検索した結果
ディレクトリインデックス脆弱性があるサイトに漏洩されたnignx.confファイル
NGINX設定ファイル管理ツールの探し方
NGINX設定ファイル は他の方法でも検索ができますが、HTML Titleに「Nginx UI」という字が含まれているサイトを検索すると、ウェブでNGINXウェブサーバーのいろんな設定ファイルを管理できるNGINX UIページが示されます。
title: "Nginx UI"
Criminal IPのIT資産検索にtitle: "Nginx UI"を検索した結果
こうやって探したケースの場合、さらにクリティカルな事実は、この設定を変更して適用することもできるということです。サブメニューの「Main Config」をクリックすると、NGINXのウェブサーバーの設定ファイル(nginx.conf)を確認し、設定を変更することもできます。
‘NGINX UI’と書かれたサイトのNGINXウェブサーバーの設定ファイル
有名なインターネットサービス会社を含め、数多くの人がNGINXサーバーを使っているほど、NGINXサーバーは常にハッカーの主な標的になっており、実際に漏洩された脆弱性を通じて攻撃を受けたケースも少なくありません。
従って、管理しているNGINXウェブサーバーの様々な設定ファイルが知らないうちに漏洩されているのではないか点検することは、一番基本的で優先すべきセキュリティルールだと言えます。
NGINXを使用して構築したウェブサーバーだけを見つける方法が知りたい方は、productフィルターの活用法について紹介する product filter で攻撃対象領域に漏洩されたアプリケーション検知 の投稿をご参照ください。
0コメント