Nueva caída de Cloudflare provoca interrupciones en Shopify
05/12/2025
Notepad++ sufre un ataque a su sistema de actualizaciones
03/02/2026Incremento de ataques con Feroxbuster
En los últimos días, desde DEINSER hemos detectado un aumento significativo de intentos automatizados de descubrimiento de URLs de paneles de administración, basados en rutas que comienzan por /admin seguidas de combinaciones de letras y números.
Este patrón de ataque no es aleatorio: sigue una enumeración sistemática de URLs del tipo:
/admin9995
/admin9997
/admin9987
/admin9976
/admin9980
/admin9984
/admin9996
/admin9993
/admin9999
/admin9998
Tal y como se observa en nuestros sistemas de monitorización, estas peticiones se realizan de forma masiva y repetitiva, lo que genera dos riesgos principales.
🛑 Riesgo doble: estrés de recursos y exposición de paneles reales
1️⃣ Ataque de estrés / DoS indirecto
Muchas aplicaciones web tienen rutas que, aun devolviendo error, requieren carga de framework, base de datos o lógica compleja. Al bombardear este tipo de URLs, se produce un consumo innecesario de CPU, memoria y procesos PHP/Node, lo que puede derivar en:
- Lentitud generalizada
- Saturación de workers
- Caídas temporales del servicio
- Webs no disponibles para usuarios legítimos
En la práctica, este comportamiento puede considerarse una forma de ataque de estrés de recursos.
Una opción para mitigar estos problemas que podrían darse incluso con tráfico válido, sería analizar la carga de las URLs más pesadas, optimizar e implementar sistemas de caché para evitar posibles ataques DoS o minimizar los trabajos de las URLs que tienden ser a páginas estáticas como las páginas de error.
2️⃣ Descubrimiento de paneles de administración reales
El segundo riesgo, aún más crítico, es que bajo alguna de estas rutas exista realmente un panel de administración operativo (/adminXXXX). En ese caso, el atacante podría intentar:
- Fuerza bruta de credenciales
- Explotación de vulnerabilidades conocidas
- Acceso no autorizado a sistemas internos
🔍 Herramienta utilizada: Feroxbuster
Las peticiones detectadas están siendo realizadas con el User-Agent:
feroxbuster/2.13.0
Feroxbuster es una herramienta ampliamente conocida en el ámbito de la seguridad ofensiva. Se trata de un scanner de fuerza bruta de contenido web, utilizado para:
- Enumerar directorios y archivos ocultos
- Detectar endpoints no documentados
- Descubrir paneles de administración
- Localizar recursos sensibles
Funciona mediante diccionarios y patrones inteligentes, soporta concurrencia elevada y está diseñada para generar una gran cantidad de peticiones en poco tiempo, lo que explica el impacto observado en los servidores.
🌍 Origen de los ataques detectados
Hasta el momento, gran parte de la actividad registrada proviene de la siguiente IP IPv6:
2a12:bec4:1460:241::2
- País: Reino Unido
- ASN: 213702
- Proveedor: Qwins LTD (QWINS Hosting)
Un aspecto llamativo es que la web corporativa de esta empresa (qwins.co), supuestamente británica, presenta el ruso como idioma principal, lo cual incrementa las sospechas de que se trate de infraestructura utilizada para actividades de escaneo, hacking o disrupción, más que de un proveedor de alojamiento convencional.
✅ Recomendaciones de seguridad de DEINSER
Desde DEINSER estamos aplicando y recomendamos aplicar las siguientes medidas de forma inmediata:
- Bloqueo del User-Agent
feroxbustera nivel de WAF / servidor web - Bloqueo de la IP
2a12:bec4:1460:241::2y/o el ASN al completo213702 - Limitación de peticiones repetitivas a rutas
/admin*o incluso el posible bloqueo e inclusión a lista negra de los accesos inválidos a dicho patrón - Verificación de que no existen paneles reales expuestos bajo rutas predecibles
- Implementación de autenticación adicional a los paneles de administración reales (IP allowlist, MFA, rutas no estándar)
Nuestros sistemas de monitorización y protección ya están actuando de forma proactiva para mitigar este tipo de ataques antes de que afecten a la disponibilidad de los servicios.
🔐 Compromiso DEINSER
En DEINSER seguimos reforzando continuamente nuestras medidas de seguridad y monitorización para anticiparnos a este tipo de amenazas, garantizando la estabilidad y protección de los proyectos alojados con nosotros.
Si tienes dudas sobre la seguridad actual de tu web o deseas revisar la exposición de rutas sensibles, nuestro equipo técnico está a tu disposición.
