Redes Sociales

miércoles, 25 de marzo de 2015

Primeros resultados del repositorio de información de dominios .es

A partir del simple repositorio de información de dominios .es que explique en mi anterior entrada, en apenas 4 días de tenerlo en funcionamiento ya podemos sacar las primeras conclusiones.

Como resumen, en apenas 4 días se obtuvo información de:

  • nmaps de 4930 dominios .es
  • 114369 puertos
  • resultados de whatweb de 139857 dominios .es
  • 1441056 datos diferentes de esos 139857 dominios


Algunos datos interesantes obtenidos


Puertos abiertos más comunes

Como era de esperar, los puertos 80,443, 25 y 21 son los puertos más comúnmente abiertos, pero curiosamente no por este orden:

Si no contamos el total de estos 10 puertos, en las casi 5000 máquinas escaneadas nos quedan 77439 puertos de todo tipo en estado "open". Y seguramente muchos de ellos con aplicaciones vulnerables detrás y abiertos a internet:



Que tecnología hay detrás?

Si nos centramos en la información proporcionada por whatweb sacamos cosas aún mas interesantes. Para empezar si miramos los servidores web más comunes aparecen sobre todo Apache y nginx, pero llama la atención la cantidad de IIS/6.0 aun en funcionamiento. ¿Estaran parcheados?:



Pero es que si tiramos un poco hacia arriba nos encontramos con un buen numero de Apaches 2.0.52 y 2.0.54, IIS/5.0 y Nginx 1.0:



A ver que vulnerabilidades podemos encontrar en un Apache 2.0.52... pues salen un total de 36 que tengan su propio CVE:



En cuanto a la tecnología subyacente, vemos que ASP es la primera, se entiende que en los servidores IIS:



Llama la atención los 3617 servidores (un 2,58% del total) que aun tienen la version 5.2.17 de PHP y que como podemos ver atesoran cada uno de ellos un total de 38 vulnerabilidades, algunas de ellas con su correspondiente exploit:



Hay mucha mas información. Estas son las cabeceras especiales que devuelve una peticion HTTP. Como vemos, muchos sitios tienen la cabecera x-frame-options para evitar episodios de click-fraud.

Pero llama la atencion la cantidad de webs que envían la cabecera HTTP x-adblock-key. ¿Y esto que es?. Es una cabecera que le dice a AdBlock Plus que los anuncios de su web son legítimos y los muestre. Y es que Adblock no deja de ser un negocio y aunque filtra muchos anuncios, si la web paga, sus anuncios se mostraran todos.



En fin, se puede sacar información de todo tipo, por ejemplo ésta es la versión de wordpress utilizada, vemos aún alguna versión 2.9 y 3.0 en uso:



Por supuesto, de cada uno de estas tecnologías vulnerables que encontramos podemos sacar su IP y probar un ataque. Si esto es lo que he encontrado yo con apenas 4 días de busqueda, ¿que es lo que tendran las organizaciones que se pasan todo el día rastreando internet?.

Otro día seguiré sacando estadisticas curiosas.

No hay comentarios:

Publicar un comentario