Viime aikoina huomasin outoja merkintöjä vain paikalliseen verkkopalvelimelleni. Asia on, en tiedä tuliko hyökkäys verkon ulkopuolelta vai tartunnan saaneelta koneelta. Olen lukenut hieman hnap -hyökkäyksestä, mutta en ole vielä varma mitä tehdä asialle. Pohjimmiltaan Cisco-reitittimissä on haavoittuvuuksia ”kotiverkon hallintaprotokollan” takia. Ja mitä luin, ratkaisua ei ole.

Jos kyseessä on tartunnan saanut järjestelmä, haluaisin paikantaa sen kuuntelemalla verkkoliikennettä, mutta en ole varma, miten se tehdään. yritti käyttää snort ja wireshark, mutta nämä ohjelmat vaikuttavat melko kehittyneiltä. Vaihtoehtoisesti ajattelen, että jos joku pystyi vaarantamaan verkkoni halkeamalla verkkoavaimen, he voivat liittyä verkkoon ja suorittaa haluamansa tarkistukset. Muussa tapauksessa ehkä joku käyttää paikallisen verkon ulkopuolelta.

Tässä ovat merkinnät (päivitetyt näyttämään useita pyyntöjä tietokoneeltani) : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

Mitä voin tehdä ongelman jäljittämiseksi? Onko olemassa helppo tapa kuunnella lisää näitä pyyntöjä ja paikantaa lähde? Onko olemassa parempia haittaohjelmien / vakoiluohjelmien skannerit, jotka saattavat tarttua matoon?

(Käytän ajan tasalla olevaa virustorjuntaohjelmaa, eikä se havaitse mitään, joten siellä on niin.)

Vastaa

Löysit mainoksen evice, joka on yhdistetty verkkopalvelimeesi ja pyydetty / HNAP1 /

HNAP on protokolla laitteiden hallintaan, joten pelkästään näiden tietojen kera mahdollisista hyökkäyksistä , luulen, että tämän on tehnyt verkkosi laite, joka tukee tätä protokollaa (esim. se saattaa yrittää hankkia reitittimeltäsi julkisen IP-osoitteen).

Lokirivilläsi tulisi olla pyynnön esittäneen asiakkaan IP-osoite, esimerkiksi: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

tässä tapauksessa pyynnön olisi suorittanut 192.168.123.123.

¹ Oletan, että käytät Yhteinen lokimuoto , jos käytät mukautettua muotoa, sinun on lisättävä etäosoite jonnekin)

Päivityksen osalta « Virheellinen HTTP_HOST header »-viesti on tässä enimmäkseen merkityksetön. Asiakas muodosti yhteyden määrittäen, että halusi puhua (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), mutta palvelimellesi ei ole määritetty virtuaalisia isäntiä niille. Tärkeä osa on vasemmanpuoleinen IP (vaikka jos siinä luetellaan sekä ulkoinen että VirtualBox-käyttöliittymä, se todennäköisesti tarkoittaa, että se on tullut tietokoneeltasi).

Kommentit

  • Lähdeosoite oli tietokoneeni IP, virtuaalisen yhdyskäytävän IP (virtualbox networking) ja reitittimen yhdyskäytävän IP (jotain 192.168.1.1). Tarkoittaako tämä, että tietokoneeni on vaarantunut?
  • @TechMedicNYC, joten sinulla oli useita kolmea pyyntöä / HNAP1 / cinungille eri IP-osoitteista?
  • I ' olemme päivittäneet kysymysosan selkeyden vuoksi. Se näyttää esimerkin lähteen IP-osoitteista ja sijainneista.
  • @TechMedicNYC Päivitin vastaukseni. Tärkeä osa ovat vasemmalla olevat IP-osoitteet, eivät Host-otsikossa olevat.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *