Recientemente, vi algunas entradas extrañas en mi servidor web solo local. El caso es que no sé si el ataque provino de fuera de la red o de una máquina infectada. Leí un poco sobre el hnap
ataque, pero aún no estoy seguro Qué hacer al respecto. Esencialmente, los enrutadores Cisco tienen vulnerabilidades debido al «protocolo de administración de red doméstica». Y por lo que he leído, no hay solución.
Si se trata de un sistema infectado, me gustaría identificarlo escuchando el tráfico de la red, pero no estoy seguro de cómo hacerlo. intenté usar snort
y wireshark
, pero estos programas parecen bastante avanzados. Alternativamente, estoy pensando que si alguien pudiera comprometer mi red descifrando la clave de red, podrían unirse a la red y ejecutar los análisis que quieran. De lo contrario, tal vez alguien esté accediendo desde fuera de la red local.
Aquí están las entradas (actualizadas para mostrar múltiples solicitudes desde mi PC) :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).
¿Qué puedo hacer para localizar el problema? ¿Existe una manera fácil de escuchar más de estas solicitudes y localizar la fuente? ¿Hay mejores ¿Escáneres de malware / spyware que pueden detectar un gusano?
(Yo uso un antivirus actualizado y no detecta nada, así que hay eso).
Respuesta
Lo que encontró fue ese anuncio evice conectado a su servidor web y solicitado / HNAP1 /
HNAP es un protocolo para administrar dispositivos, por lo que solo con esta información sobre posibles ataques , supongo que esto lo ha hecho un dispositivo en su red que admite este protocolo (p. ej. puede estar intentando obtener de su enrutador la dirección IP pública).
Su línea de registro debe contener la dirección IP del cliente que realizó dicha solicitud, ¹ por ejemplo:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
en este caso, la solicitud habría sido realizada por 192.168.123.123
.
am Supongo que estás usando Formato de registro común , si está utilizando un formato personalizado, debe agregar la dirección remota en algún lugar)
Con respecto a su actualización, el « El mensaje de encabezado HTTP_HOST no válido »es prácticamente irrelevante aquí. El cliente se conectó especificando que quería hablar con (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) pero su servidor no está configurado con hosts virtuales para esos. La pieza importante es la IP de la izquierda (aunque si enumeró tanto la interfaz externa como la de VirtualBox, probablemente significa que proviene de su PC).
Comentarios
- La dirección de origen era la IP de mi PC, una IP de puerta de enlace virtual (red virtualbox) y la IP de puerta de enlace del enrutador (algo así como 192.168.1.1). ¿Esto indica que mi PC está comprometida?
- @TechMedicNYC, por lo que tuvo tres solicitudes a / HNAP1 / cinung desde diferentes direcciones IP?
- I ' he actualizado el cuerpo de la pregunta para mayor claridad. Muestra las direcciones IP y las ubicaciones de origen de ejemplo.
- @TechMedicNYC Actualicé mi respuesta. La pieza importante son las direcciones IP a la izquierda, no las del encabezado del Host.