🌐caesen

Vigila amb els secrets: l’atac que va tocar el teu servidor

Vigila amb els secrets: l’atac que va tocar el teu servidor

Com evitar la filtració de secrets quan publiques un projecte en producció

El dia 2 de maig del 2025, a les 02:41:37 del matí, una IP d’Amsterdam (213.232.87.232) va començar un escaneig sistemàtic del teu servidor. No buscava pàgines web. No volia veure contingut. Buscava secrets. I tu, estaves preparat?

Aquest tipus d'atac és més comú del que et penses. I no, no és “hacking” de pel·lícula. És només una màquina fent peticions. Però les peticions són intel·ligents. I perilloses.

🔍 Què buscava?

La llista és esgarrifosa:

  • /.vscode/sftp.json

  • /server.key

  • /.ssh/id_rsa

  • /backup.sql

  • /.env

  • /cloud-config.yml

  • /secrets.json

  • /docker-compose.yml

  • /config.php

  • /.aws/credentials

  • /.git/HEAD

  • i molts més...

Tots ells són fitxers que han estat exposats per error a producció en centenars de projectes al món. I tots poden contenir claus privades, secrets d'API, credencials, configuracions sensibles, còpies de seguretat... tot.

📉 Una sola fuita = desastre

Quan publiques un projecte, especialment si uses frameworks com Laravel, Node.js, Django, etc., és fàcil oblidar-te fitxers com .env, config.yml o directoris sencers com .git/. A StackOverflow i a Hacker News, hi ha múltiples històries de desenvolupadors que han patit aquest error, com el cas famós on algú va commitejar per error les claus AWS en un repositori públic i, en menys d’una hora, va tenir factures de milers de dòlars per ús maliciós de serveis ….

🔐 Bones pràctiques per protegir secrets

Segons plataformes de detecció de secrets com ScatteredSecrets … i informes sobre tràfic maliciós …, aquestes són algunes mesures que haurien de ser obligatòries:

  • Mai publiquis el teu .env o fitxers de configuració sensibles. Usa .gitignore.

  • Configura correctament el teu servidor. Tot arxiu que comenci amb punt (.) hauria d'estar denegat per l’HTTP server.

  • Evita exposar directoris com .git, .svn, node_modules, vendor o storage.

  • Audita el teu repositori. Hi ha eines com git-secrets o [truffleHog] per buscar secrets abans de fer push.

  • Desplega només l’artefacte de producció. Mai la font sencera. Usa pipelines per netejar i empaquetar.

  • Monitoritza els logs. Les peticions rebudes com les que t’hem mostrat són una alerta clara que algú t’està escanejant.

🛡️ El teu servidor ha resistit… aquesta vegada

Fixat bé: de les peticions de l’atac, moltes han tornat un 403 Forbidden o un 404 Not Found. Afortunadament. Però només cal una fuita mal configurada per obrir la porta.

El futur dels teus sistemes depèn del que facis avui. No esperis a veure un GET /.env amb un 200 OK al teu log per actuar.