Computerbeveiliging - Hoe je bad guys buiten de deur houdt

subdomain enumeration op wordpress multisite

19-02-2020, 16:50 door SecOff, 15 reacties
Laatst bijgewerkt: 19-02-2020, 16:54
Hoi,

Ik gebruik een wordpress multisite omgeving (Geen reacties WP is bagger, moet je ook niet doen, etc aub) en zie heel veel geautomatiseerde aanvallen langskomen op alle aangemaakte subdomeinen. (site.domain.nl, site2.domein.nl etc.etc.)

Ik vraag me af hoe de aanvallers aan de namen van de subdomeinen komen,
- De subdomeinen zijn niet opvolgend maar hebben door gebruikers gekozen namen van organisaties
- Wordpress en de gebruikte plugins zijn volledig up-to-date
- Het ssl certificaat is een wildcard certificaat dus daar is het niet uit te halen.
- Gebruikers kunnen wel inloggen alleen op hun eigen subsite maar kunnen niet in de "back-end" profiel instellingen
- Op de mainsite zijn ook geen referenties te vinden naar de aangemaakte subsites.
- Logs zijn niet publiek toegankelijk.

Ook de (in managed wordpress hosting gespecialiseerde) hoster kan niet bedenken hoe het kan en een paar ervaren wordpress plugin developers ook niet.

Hier wellicht iemand die weet hoe je zonder in te loggen in de back-end een lijst met geregistreerde subsites kunt achterhalen, en hopelijk dus hoe dit te voorkomen?
Reacties (15)
19-02-2020, 19:43 door Erik van Straten - Bijgewerkt: 19-02-2020, 19:44
Googlen naar site:example.com levert vaak info over subsites op; probeer maar eens site:wordpress.com of site:moonfruit.com. Op die laatste vond ik recentelijk tientallen phishing sites (bijv. met site:moonfruit.com owa). Dit soort zoekopdrachten kun je combineren met Google dorks bijv. voor specifieke Wordpress versies en/of gebruikte plugins.

En als meerdere sites op 1 IP-adres zitten, kun je door naar dat IP-adres (tussen aanhalingstekens) te Googlen op diverse sites vaak subsites vinden. Lang geleden had robtex.com veel handige info op dit vlak (maar daar moet je tegenwoordig betalen als ik me niet vergis). Ook sites als virustotal.com willen wel eens info geven op basis van een IP-adres.

Daarnaast zij er sites die domeinregistraties bijhouden. Als je daar genoeg in zoekt op ".example.com" kun je waarschijnlijk het e.e.a. vinden.

Ik heb geen idee hoe je dit zou kunnen voorkomen.
19-02-2020, 19:52 door Anoniem
Reverse look-up van DNS?

Kijk eens naar RobTex.com, die tool geeft veel inzicht in gerelateerde domeinen.
19-02-2020, 19:59 door Anoniem
De eerste check voor mij als techneut is nakijken wat DNS je vertelt. Als daar AXFR op aanstaat is het verder kinderspel.
19-02-2020, 21:58 door Anoniem
Zie: https://pentest-tools.com/information-gathering/find-subdomains-of-domain#

Hier voor deze site - www.security.nl; secure.security.nl * security.nl IP address 82.94.191.109/110/111.
Scan parameters
Domain: security.nl
DNS records (NS, MX, TXT, AXFR): On
DNS enumeration: On
Certificate Transparency Logs: Off
Project Sonar (Rapid7): Off
Bing search: Off
Google search: Off
HTML links search : Off
SSL search: Off
Reverse DNS search: Off
Smart DNS search: Off
IP information: False
Web technologies: True

#sockpuppet
20-02-2020, 13:40 door SecOff
@alle reageerders:

- Er zijn geen dns entries voor de subsites ook geen ptr entries (er is alleen een wildcard entry in dns)
- Op google geen resultaten als ik op het ip adres of op de naam van de subsites google (search engine indexing staat uit en de subsites hebben alleen een publieke login pagina, de rest van de pagina's zijn alleen toegankelijk na inloggen)
- pentest-tools.com geeft ook geen info over de subdomeinen.
20-02-2020, 14:07 door Anoniem
Probeer eens hier https://www.ultratools.com/
Ik vermoed toch dat je een configuratiefout te pakken hebt.

#sockpuppet
20-02-2020, 14:08 door Anoniem
Door SecOff: Hoi,

Ik gebruik een wordpress multisite omgeving (Geen reacties WP is bagger, moet je ook niet doen, etc aub) en zie heel veel geautomatiseerde aanvallen langskomen op alle aangemaakte subdomeinen. (site.domain.nl, site2.domein.nl etc.etc.)

Hier wellicht iemand die weet hoe je zonder in te loggen in de back-end een lijst met geregistreerde subsites kunt achterhalen, en hopelijk dus hoe dit te voorkomen?

Er zijn veel (semi-)publieke DNS servers die data van DNS lookups verzamelen. Deze data wordt vervolgens gebruikt om per IP of domein te bepalen welke subdomeinen of hostnamen voorkomen. Dergelijke databases zijn soms publiek, soms is toegang aanvraagbaar. Mensen die een bepaalde "geheime" hostnaam gebruiken doen er goed aan te kijken naar welke DNS servers ze hun requests sturen. Gebruik geen publieke name servers op de server en op clients.

Daarnaast het al genoemde AFXR die openstaat voor onbevoegden, waarmee de hele zone is op te halen. Dit moet beperkt worden tot vertrouwde name servers. Controleer alle name servers voor het domein. Staat er misschien ergens een zone file online?

dig ANY. De DNS server voor het domein kan bekende domeinen uit de cache halen.

Een open root directory op een web server kan ook leiden tot disclosure. Dat was het geval bij Xs4all.

Verder kan een DNS server of interface of control panel (etc.) zijn gehackt.

Vergeet niet te kijken naar testservers. Die worden vaak niet onderhouden.

De plugin update check van WordPress is oppervlakkig, daar moet je niet op vertrouwen. Als je backup plugins gebruikt, check dan ook of de backup bestanden niet publiekelijk toegankelijk zijn. Verwijder uitgeschakelde plugins en ruim ook achtergebleven bestanden op.

Je kan de web server logs nalopen op toegang tot (bestaande) WordPress bestanden om zo te bepalen of en hoe er een inbraak is geweest. Als je een file monitoring systeem (IDS) hebt, controleer die logs dan ook.
20-02-2020, 16:23 door Anoniem
Kijk hier maar eens naar je subdomeinen: https://securitytrails.com/dns-trails

Ziek. AXFR staat dicht bij mij, sommige domeinen gebruik ik echt niet, nooit. Toch zijn ze allemaal bekend.

Voor security.nl bijvoorbeeld: https://securitytrails.com/list/apex_domain/security.nl

1 secure.security.nl ? Xs4all Internet BV
?
2 security.nl ? Xs4all Internet BV Xs4all Internet BV
3 www.security.nl ? Xs4all Internet BV
?
20-02-2020, 17:30 door SecOff - Bijgewerkt: 20-02-2020, 17:30
Door Anoniem: Kijk hier maar eens naar je subdomeinen: https://securitytrails.com/dns-trails

Thanks, daar staan ze inderdaad, nu nog ff uitzoeken hoe ze daar terecht komen en of er wat tegen te doen is....
20-02-2020, 17:58 door Anoniem
Ik ben anoniem @16:23

Ik weet nog niet hoe ze er aan komen, noch of er wat tegen te doen is. Ik gebruik zowel ISC bind als NSD, en het moet haast wel een mode zijn om daar ondanks verbod toch de informatie uit te lepelen. Beginnen bij aaaaaaaa en eindigen bij zzzzzzzzzz? Ik zie overigens dat de verstrekte informatie niet altijd even correct is, zo is bij 1 van mijn domeinen de hoster aangegeven als de mail provider. Dat doe ik toch echt helemaal zelf op eigen gehoste hardware. Ik gebruik geen service interface of control panel, ik beheer die server vanaf command line met SSH met username/keys+OTP (MFA). Mijn IDS'en zeggen niets bijzonders. Alle suggesties die anoniem@14:08 zijn niet van toepassing.

Iemand anders van de whitehat community die het weet?
20-02-2020, 17:58 door SecOff - Bijgewerkt: 20-02-2020, 18:13
Iemand een idee hoe securitytrails of bijvoorbeeld dnsdumpster aan die data komt? Volgens de beschrijvingen is het statische data uit een database, maar hoe wordt die database gevuld? Alle onderstaande methoden gechecked en voor mijn domain kan volgens mij allen data van dns lookups door clients de enige optie te zijn. Of er onder de grote dns providers die alle lookups verkopen?


subdomain enumeration methods
Scraping
Brute-force
Alterations & permutations of already known subdomains
Online DNS tools
SSL certificates
Certificate Transparency
Search engines
Public datasets
DNS aggregators
Git repositories
Text parsing (HTML, JavaScript, documents…)
VHost discovery
ASN discovery
Reverse DNS
Zone transfer (AXFR)
DNSSEC zone walking
DNS cache snooping
Content-Security-Policy HTTP headers
Sender Policy Framework (SPF) records
Subject Alternate Name (SAN)
21-02-2020, 04:29 door Anoniem
Communiceren de wordpress installaties naar buiten? Bv. voor updates?

Of staat https://codex.wordpress.org/Update_Services ingeschakeld?

Wat weet passive total of shodan van de domeinen?

Welke browsers gebruiken de bezoekers van deze sites? En bv anti-virus met anti-phishing checks?

Staan er links op de site naar andere sites die referer informatie naar bv analytics sturen?
21-02-2020, 15:45 door Anoniem
Zowel Google als Microsoft checken alle links in emails.

Passive DNS is de term die gebruikt wordt voor het verzamelen van data uit DNS replies.
27-02-2020, 12:01 door Erik van Straten
Zojuist las ik https://isc.sans.edu/forums/diary/Offensive+Tools+Are+For+Blue+Teams+Too/25842/ geschreven door Xavier Mertens. Hij schrijft daarin o.a. over de tool "Amass" van OWASP (https://github.com/OWASP/Amass/).
Wellicht is iemand met die tool in de weer geweest.
27-02-2020, 13:05 door SecOff
@everyone: Dank, ik heb genoeg antwoorden. Ook weer wat geleerd. Ik wist niet dat er zoiets was als passive dns databases waarin dns requests die sommige grote dns providers en webdiensten voorbij zien komen worden opgeslagen. Zo zie je maar weer dat veel van wat we doen op het internet ergens wordt opgeslagen en bewaard voor andere doeleinden (inclusief het aanvallen van systemen).

Het idee dat het nergens advertisen van subdomeinen (niet in dns, certificaten, webserver configs etc) als "security by obscurity" binnen een brede set beveilingsmaatregelen een klein beetje bij zou kunnen dragen aan aan de bescherming tegen aanvallen is hiermee grondig onderuit gehaald :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.