Enum Detector (Anticiparse a Inyecciones SQL)

Una de las fases previas a un ataque o pentesting es la enumeracion.

1º esta la enumeracion de puertos y servicios: detectada y bloqqueada con AntiNmap.
2º Una vez descubiertos los servicios vendria listar los recursos de los mismos.

En el caso de http (Servidores de paginas web) uno de los vectores de ataque mas buscado es la Inyeccion SQL.
Seguido de CMS (Gestores de contenidos como WordPres) y sus interfaces de administracion.

Por eso estoy Preparando Mi 3a Linea de defensa Enum-Detector Lo que va ha hacer esta erramienta es detectar Intentos de Enumeracion y bloquear las IPs atacantes.

En el caso del protocolo http Si bloqueo las Ips a nivel de cortafuegos puedo sacrificar la visibilidad de nuestra web.
Lo cual puede ser un problema para una empresa. (perdida de visitas)

Asi que lo que voy a hacer es bloquear las partes sensibles de la web.
Como pueden ser la interfaz de administracion , la gestion de bases de datos (phpmyadmin) , los sevicios de la Nube y las zonas que contengan informacion sensible. (ej datos de usuarios).

Detectar la Ip del atacante es mas o menos Facil. (me explico.)
Con el siguiente comando puedo filtrar los ultimos ataques de enumeracion.
tail /var/log/httpd/error_log | grep "File does not exist"

[root@jejo.es]# tail /var/log/httpd/error_log | grep "File does not exist"
[Wed Jul 03 04:17:45 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2013
[Wed Jul 03 04:17:45 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2014
[Wed Jul 03 04:17:46 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2015
[Wed Jul 03 04:17:46 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2016
[Wed Jul 03 04:17:47 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2017
[Wed Jul 03 04:17:47 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2018
[Wed Jul 03 04:17:48 2019] [error] [client 36.230.170.145] File does not exist: /var/www/html/phpmyadmin2019
[root@jejo.es]# 

Bueno eso es todo por hoy.
Nota: Continua en: http_enum_V1.md

Mas info en: Filtrar_ataques_log_http
y Vulnerabilidad thinkphp (remote code execution) Ya analizada en este articulo.