Récemment, jai vu des entrées étranges sur mon serveur Web uniquement local. Le fait est que je ne sais pas si l’attaque vient de l’extérieur du réseau ou d’une machine infectée. J’ai lu un peu plus sur l’attaque hnap
, mais je ne suis toujours pas sûr que faire à ce sujet. Essentiellement, les routeurs Cisco présentent des vulnérabilités en raison du «protocole dadministration du réseau domestique». Et daprès ce que jai lu, il ny a pas de solution.
Sil sagit dun système infecté, jaimerais le localiser en écoutant le trafic réseau, mais je ne sais pas comment procéder. Je essayé dutiliser snort
et wireshark
, mais ces programmes semblent assez avancés. Alternativement, je pense que si quelquun était capable de compromettre mon réseau en craquant la clé du réseau, ils pourraient rejoindre le réseau et exécuter les analyses de leur choix. Sinon, peut-être que quelquun accède depuis lextérieur du réseau local.
Voici les entrées (mises à jour pour afficher plusieurs requêtes de mon PC) :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).
Que puis-je faire pour localiser le problème? Existe-t-il un moyen simple découter davantage de ces requêtes et didentifier la source? Y a-t-il mieux des scanners de logiciels malveillants / espions susceptibles de détecter un ver?
(Jutilise un antivirus à jour et il ne détecte rien, alors il y a ça.)
Réponse
Ce que vous avez trouvé est cette annonce evice connecté à votre serveur Web et demandé / HNAP1 /
HNAP est un protocole de gestion des appareils, donc avec juste ces informations sur les attaques potentielles , je suppose que cela a été fait par un périphérique de votre réseau qui prend en charge ce protocole (par exemple. il peut essayer dobtenir de votre routeur ladresse IP publique).
Votre ligne de journal doit contenir ladresse IP du client qui a effectué cette demande, ¹ par exemple:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
dans ce cas, la requête aurait été effectuée par 192.168.123.123
.
¹ Je suppose que vous utilisez Common Log Format , si vous utilisez un format personnalisé, vous devez ajouter ladresse distante quelque part)
Concernant votre mise à jour, le « Le message den-tête HTTP_HOST non valide »nest généralement pas pertinent ici. Le client sest connecté en spécifiant quil voulait parler avec (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) mais votre serveur nest pas configuré avec des hôtes virtuels pour ceux-ci. Lélément important est ladresse IP de gauche (bien que si elle énumère à la fois linterface externe et VirtualBox, cela signifie probablement quelle provient de votre PC).
Commentaires
- Ladresse source était ladresse IP de mon PC, une adresse IP de passerelle virtuelle (réseau virtualbox) et ladresse IP de la passerelle du routeur (quelque chose comme 192.168.1.1). Cela indique-t-il que mon PC est compromis?
- @TechMedicNYC, vous avez donc reçu plusieurs trois requêtes adressées à / HNAP1 / cinung à partir dadresses IP différentes?
- I ' a mis à jour le corps de la question pour plus de clarté. Il montre les exemples dadresses IP et demplacements source.
- @TechMedicNYC Jai mis à jour ma réponse. Lélément important sont les adresses IP à gauche, pas celles de len-tête Host.