Около 390 тысяч сайтов оставили открытыми каталоги.git с кодом

Чешский исследователь безопасности Владимир Смитка (Vladim&237;r Smitka) провел сканирование около 320 млн доменов и выявил, что на 390 тысячах сайтов доступны для загрузки каталоги ".git", которые по недосмотр выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге.git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать из для поиска уязвимостей), а в некоторых случаях пароли и ключи доступа к СУБД, API и облачным сервисам.

Сканирование всех доменов в сети заняло около 4 недель, после чего исследователь попытался предупредить владельцев сайтов на которых зафиксирована отдача каталога ".git", организовав рассылку по email. Адреса электронной почты были взяты из файла /.git/logs/HEAD. Из 390 тысяч сайтов удалось определить emаil для 290 тысяч, из которых 90 тысяч email оказались уникальными. После отправки предупреждения 18 тысяч адресов оказались уже не действующими. В ответ на рассылку было получено почти 2000 писем с благодарностями, 30 сообщений о ложном срабатывании, два письма от спамеров и одна угроза с намерением пожаловаться в полицию.

Изучение содержимого каталога ".git" показало, что 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP и по 1% на Node.js (2394), Java (1742), Ruby (1199) и Python (1499). Код на Perl был найден в 504 случаях. 42 тысяча сайтов работают под управлением Ubuntu, 12906 - Debian, 9350 - CentOS, 3204 - Windows Server, 378 - RHEL, 216 - FreeBSD, 170 - Fedora, 152 - Gentoo, 50 - SUSE. Среди систем управления контентом лидирует WordPress - 41139 сайтов, Drupal - 2256, Joomla - 1615, Typo3 - 1258, Bitrix - 330.