python-httpx Attacken - UA Anfragen einfach blockierbar?

[Ralph]

ist wohl gerade voll der Trend ... bekomme davon jede Menge ab

Code: Select all

grep "python-httpx" /home/users/*/logs/*/access.log

Weiß jemand ob python-httpx Anfragen offen bleiben müssen/sollten (LetsEncrypt, CMS Updates, etc.) ?

Hab die /etc/fail2ban/filter.d/keyhelp-bad-bots.conf vorhin mal erweitert:

Code: Select all

badbots-aggressive = ClaudeBot|claudebot|Bytespider|python-httpx| etc.

[Daniel]

Moin,

ich habe mal auf einem unserer Systeme geschaut - über 30k Zugriffe nach dem Schema überwiegend von amzn sources.

Was dort für Zugriffe vermerkt sind sieht aus wie ein large scale crawl auf alles Mögliche was sensible Informationen beinhalten könnte.
phpinfo, *sql, .*js, .env, configuration.* etc. Klar, grundlegend ist das nichts neues, aber in der Form schon.

Mir war das bisher noch nicht aufgefallen.
Einfach weg damit

[Ralph]

ich habe mal auf einem unserer Systeme geschaut - über 30k Zugriffe nach dem Schema überwiegend von amzn sources.
Was dort für Zugriffe vermerkt sind sieht aus wie ein large scale crawl auf alles Mögliche was sensible Informationen beinhalten könnte.
phpinfo, *sql, .*js, .env, configuration.* etc. Klar, grundlegend ist das nichts neues, aber in der Form schon.
Mir war das bisher noch nicht aufgefallen.
Einfach weg damit

Ja, ist mir bisher auch nie aufgefallen, es war ein Zufallsfund ... ich nehme mal an der HTTP client verursacht weniger Last und kann daher unauffälliger scannen. Es wird wohl nicht nur bei Python HTTPX bleiben, es gibt ja noch viele klassische HTTP clients die zusammen mit Composer in bekannten Anwendungen eingesetzt werden, da wird es dann schwieriger werden ...

[Tobi]

Wir haben AWS auf vielen Servern mittlerweile per Firewall über die IP Ranges ausgesperrt. Hat sich noch niemand beschwert.

[Alexander]

Ich denke, da hat sich jemand nicht die Mühe gemacht in seinem Python Programm, welches die "httpx" HTTP client Bibliothek verwendet, den "User Agent" mit etwas sinnvollerem zu ersetzen.

Sprich "python-httpx" wird der User Agent in der Standardeinstellung sein und damit wird jedes Programm, welches die genannte Bibliothek verwendet und dessen UA man nicht explizit umgestellt hat sich mit dieser Kennung melden.

Es werden sich hinter "python-httpx" wahrscheinlich also mehrere verschiedene Scripts unterschiedlicher Herkunft und unterschiedlichen Zwecks (ob positiv oder negativ) "verstecken".

Das nur als Hintergrundinformation, sollte es jemanden nicht klar sein, wie das "funktioniert".

[Ralph]

Es werden sich hinter "python-httpx" wahrscheinlich also mehrere verschiedene Scripts unterschiedlicher Herkunft und unterschiedlichen Zwecks (ob positiv oder negativ) "verstecken".

Oh ja ... es könnte aber auch eine Lücke oder Backdoor bei Anwendungen im Zusammenhang mit python-httpx geben, wobei reguläre Systeme für Angriffe genutzt werden, also nicht Anbieter spezifisch oder mit speziell installierten Angriffssystemen. Bei mir sehe ich schon eine große Menge an httpx requests zusätzlich zu den Standard scanner requests. Es ist wohl nicht mehr übertrieben zu sagen dass momentan mehr als 95% aller Anfragen auf Hosting Systeme Attacken basierend sind.

noch ein UA blocking

Code: Select all

grep "axios" /home/users/*/logs/*/access.log

https://www.meterian.io/components/nodejs/axios/1.9.0/
https://security.snyk.io/package/npm/axios/1.9.0

[Ralph]

MS weist erstaunlicherweise bereits seit Sept. auf dieses Problem hin ... ich werde in dem Fall dann mal über meinen Schatten springen
https://techcommunity.microsoft.com/blo ... ts/4420827