Vor kurzem habe ich einige seltsame Einträge auf meinem lokalen Webserver gesehen. Die Sache ist, dass ich nicht weiß, ob der Angriff von außerhalb des Netzwerks oder von einem infizierten Computer kam. Ich habe ein wenig über den hnap
-Angriff gelesen, bin mir aber immer noch nicht sicher was dagegen zu tun ist. Im Wesentlichen weisen Cisco-Router aufgrund des „Home Network Administration Protocol“ Schwachstellen auf. Und nach dem, was ich gelesen habe, gibt es keine Lösung.
Wenn es sich um ein infiziertes System handelt, möchte ich es durch Abhören des Netzwerkverkehrs genau bestimmen, bin mir aber nicht sicher, wie ich das tun soll Ich habe versucht, snort
und wireshark
zu verwenden, aber diese Programme scheinen ziemlich fortgeschritten zu sein. Alternativ denke ich, wenn jemand mein Netzwerk kompromittieren könnte Wenn sie den Netzwerkschlüssel knacken, können sie dem Netzwerk beitreten und beliebige Scans ausführen. Andernfalls greift möglicherweise jemand von außerhalb des lokalen Netzwerks zu.
Hier sind die Einträge (aktualisiert, um mehrere Anforderungen von meinem PC anzuzeigen). :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).
Was kann ich tun, um das Problem aufzuspüren? Gibt es eine einfache Möglichkeit, auf mehr dieser Anfragen zu warten und die Quelle zu lokalisieren? Gibt es bessere? Malware- / Spyware-Scanner, die möglicherweise einen Wurm erkennen?
(Ich verwende aktuelles Antivirenprogramm und es erkennt nichts, also gibt es das.)
Antwort
Sie haben diese Anzeige gefunden evice ist mit Ihrem Webserver verbunden und hat / HNAP1 /
HNAP angefordert. Es handelt sich um ein Protokoll zur Verwaltung von Geräten, das nur diese Informationen zu potenziellen Angriffen enthält Ich vermute, dass dies von einem Gerät in Ihrem Netzwerk durchgeführt wurde, das dieses Protokoll unterstützt (z. Möglicherweise wird versucht, die öffentliche IP-Adresse von Ihrem Router abzurufen.
Ihre Protokollzeile sollte die IP-Adresse des Clients enthalten, der diese Anforderung ausgeführt hat. ¹ Beispiel:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
In diesem Fall wurde die Anforderung von 192.168.123.123
ausgeführt.
¹ Ich gehe davon aus, dass Sie Allgemeines Protokollformat Wenn Sie ein benutzerdefiniertes Format verwenden, sollten Sie die Remote-Adresse irgendwo hinzufügen.
In Bezug auf Ihr Update wird das « Ungültige HTTP_HOST-Header-Nachricht »ist hier meistens irrelevant. Der Client hat eine Verbindung hergestellt und angegeben, mit welcher er sprechen möchte (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), aber Ihr Server ist nicht mit virtuellen Hosts für diese konfiguriert. Das wichtige Element ist die IP für die linke Hand (obwohl, wenn sie sowohl die externe als auch die VirtualBox-Schnittstelle auflistet, dies wahrscheinlich bedeutet, dass sie von Ihrem PC stammt).
Kommentare
- ie Quelladresse war meine PC-IP, eine virtuelle Gateway-IP (Virtualbox Networking) und die Router-Gateway-IP (etwa 192.168.1.1). Zeigt dies an, dass mein PC kompromittiert ist?
- @TechMedicNYC Sie hatten also mehrere drei Anfragen an / HNAP1 / cinung von verschiedenen IP-Adressen?
- I ' Wir haben den Fragentext aus Gründen der Übersichtlichkeit aktualisiert. Es zeigt die Beispiel-Quell-IPs und Speicherorte.
- @TechMedicNYC Ich habe meine Antwort aktualisiert. Wichtig sind die IP-Adressen auf der linken Seite, nicht die im Host-Header.