For nylig så jeg nogle mærkelige poster på min lokale eneste webserver. Sagen er, at jeg ikke ved, om angrebet kom uden for netværket eller fra en inficeret maskine. Jeg har læst lidt om hnap angrebet, men jeg er stadig usikker hvad man skal gøre ved det. I det væsentlige har Cisco-routere sårbarheder på grund af “administrationsprotokollen for hjemmenetværk”. Og ud fra det, jeg har læst, er der ingen løsning.

Hvis det er et inficeret system, vil jeg gerne finde det ved at lytte til netværkstrafik, men jeg er ikke sikker på, hvordan man gør det. Jeg forsøgte at bruge snort og wireshark, men disse programmer virker ret avancerede. Alternativt tænker jeg på, at hvis nogen var i stand til at kompromittere mit netværk ved at ved at knække netværksnøglen, kunne de slutte sig til netværket og køre de scanninger, de vil have. Ellers er der måske nogen, der får adgang uden for det lokale netværk.

Her er posterne (opdateret til at vise flere anmodninger fra min pc) : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

Hvad kan jeg gøre for at spore problemet? Er der en nem måde at lytte efter flere af disse anmodninger og finde kilden? Er der bedre malware / spyware-scannere, der muligvis opfanger en orm?

(Jeg bruger opdateret antivirus, og det opdager ikke noget, så der er det.)

Svar

Hvad du fandt var den annonce enhed forbundet til din webserver og anmodet / HNAP1 /

HNAP er en protokol til styring af enheder, så med netop denne information om potentielle angreb , mit gæt er, at dette er gjort af en enhed på dit netværk, der understøtter denne protokol (f.eks. det forsøger muligvis at hente den offentlige IP-adresse fra din router).

Din loglinje skal indeholde IP-adressen på den klient, der udførte en sådan anmodning, ¹ f.eks: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

i dette tilfælde ville anmodningen være udført af 192.168.123.123.

¹ Jeg antager, at du bruger Fælles logformat , hvis du bruger et brugerdefineret format, skal du tilføje fjernadressen et eller andet sted)

Med hensyn til din opdatering, Ugyldig HTTP_HOST header »-meddelelse er for det meste irrelevant her. Tilsluttet klient specificerede, at den ønskede at tale med (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), men din server er ikke konfigureret med virtuelle værter til dem. Det vigtige stykke er IPen til venstre (selvom det både var en ekstern og VirtualBox-grænseflade, betyder det sandsynligvis, at den kom fra din pc).

Kommentarer

  • Kildeadressen var min pc-IP, en virtuel gateway-IP (virtualbox-netværk) og routerens gateway-IP (noget som 192.168.1.1). Angiver dette, at min pc er kompromitteret?
  • @TechMedicNYC, så du havde flere tre anmodninger til / HNAP1 / cinung fra forskellige IP-adresser?
  • I ' har opdateret spørgsmålsorganet for klarhedens skyld. Det viser eksemplet på kilde-IPer og placeringer.
  • @TechMedicNYC Jeg opdaterede mit svar. Det vigtige stykke er IP-adresserne til venstre, ikke dem på værtsoverskriften.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *