Nedávno jsem viděl na svém lokálním webovém serveru nějaké podivné záznamy. Jde o to, že nevím, zda útok přišel mimo síť nebo z infikovaného počítače. O útoku hnap jsem si přečetl něco, ale stále si nejsem jistý co s tím dělat. Směrovače Cisco mají v zásadě slabá místa kvůli „protokolu pro správu domácí sítě“. A podle toho, co jsem četl, neexistuje žádné řešení.

Pokud se jedná o infikovaný systém, chtěl bych jej určit pomocí poslechu síťového provozu, ale nejsem si jistý, jak to udělat. zkusil použít snort a wireshark, ale tyto programy se zdají docela pokročilé. Alternativně si myslím, že kdyby někdo dokázal ohrozit moji síť tím, prolomením síťového klíče se mohou připojit k síti a spustit libovolné skenování, které chtějí. V opačném případě možná někdo přistupuje mimo místní síť.

Zde jsou položky (aktualizovány, aby zobrazovaly více požadavků z mého počítače) : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

Co mohu udělat, abych problém vystopoval? Existuje snadný způsob, jak poslouchat další z těchto požadavků a určit zdroj? Existují lepší skenery malwaru / spywaru, které by se mohly zachytit na červovi?

(Používám aktuální antivirus a nic nezjistí, takže tam je.)

Odpověď

Nalezli jste právě tuto reklamu zařízení připojené k vašemu webovému serveru a požadované / HNAP1 /

HNAP je protokol pro správu zařízení, takže pouze s těmito informacemi o potenciálních útocích , myslím, že to bylo provedeno zařízením ve vaší síti, které podporuje tento protokol (např. může se pokoušet získat z vašeho routeru veřejnou IP adresu).

Váš řádek protokolu by měl obsahovat IP adresu klienta, který takový požadavek provedl, ¹ např .: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

v tomto případě by požadavek provedl 192.168.123.123.

¹ Předpokládám, že používáte Běžný formát protokolu , pokud používáte vlastní formát, měli byste někde přidat vzdálenou adresu)

Pokud jde o vaši aktualizaci, « Neplatná zpráva hlavičky HTTP_HOST »je zde většinou irelevantní. Klient se připojil a uvedl, že s ním chce mluvit (192.168.rrr.rrr / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), ale váš server pro ně není nakonfigurován s virtuálními hostiteli. Důležitým prvkem je levá IP adresa (i když vyjmenovala jak externí rozhraní, tak rozhraní VirtualBox, pravděpodobně to znamená, že pochází z vašeho počítače).

Komentáře

  • Zdrojová adresa byla IP mého počítače, IP virtuální brány (síť VirtualBox) a IP brány routeru (něco jako 192.168.1.1). Znamená to, že můj počítač je kompromitován?
  • @TechMedicNYC, takže jste měli několik / žádostí o / HNAP1 / cinung z různých IP adres?
  • I ' Kvůli jasnosti jsem aktualizoval tělo otázky. Zobrazuje příklad zdrojových IP adres a umístění.
  • @TechMedicNYC Aktualizoval jsem svou odpověď. Důležitou součástí jsou adresy IP nalevo, nikoli ty v záhlaví hostitele.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *