Recentemente, ho visto alcune voci strane sul mio server web solo locale. Il fatto è che non so se lattacco proviene dallesterno della rete o da una macchina infetta. Ho letto un po sullattacco hnap
, ma non sono ancora sicuro cosa fare al riguardo. In sostanza, i router Cisco presentano vulnerabilità a causa del “protocollo di amministrazione della rete domestica”. E da quello che ho letto non cè soluzione.
Se si tratta di un sistema infetto, vorrei individuarlo ascoltando il traffico di rete, ma non sono sicuro di come farlo. ho provato a utilizzare snort
e wireshark
, ma questi programmi sembrano piuttosto avanzati. In alternativa, penso che se qualcuno fosse in grado di compromettere la mia rete crackando la chiave di rete, potrebbero unirsi alla rete ed eseguire tutte le scansioni che vogliono. Altrimenti, forse qualcuno accede dallesterno della rete locale.
Ecco le voci (aggiornate per mostrare più richieste dal mio PC) :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).
Cosa posso fare per rintracciare il problema? Esiste un modo semplice per ascoltare più di queste richieste e individuare la fonte? scanner di malware / spyware che potrebbero rilevare un worm?
(Uso un antivirus aggiornato e non rileva nulla, quindi è tutto.)
Risposta
Quello che hai trovato era quellannuncio evice connesso al tuo server web e richiesto / HNAP1 /
HNAP è un protocollo per la gestione dei dispositivi, quindi con solo queste informazioni sui potenziali attacchi , la mia ipotesi è che ciò sia stato fatto da un dispositivo sulla tua rete che supporta questo protocollo (es. potrebbe tentare di ottenere dal tuo router lindirizzo IP pubblico).
La tua riga di log dovrebbe contenere lindirizzo IP del client che ha eseguito tale richiesta, ¹ es:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
in questo caso, la richiesta sarebbe stata eseguita da 192.168.123.123
.
¹ Presumo che tu stia utilizzando Common Log Format , se stai usando un formato personalizzato, dovresti aggiungere lindirizzo remoto da qualche parte)
Per quanto riguarda il tuo aggiornamento, il « Il messaggio di intestazione HTTP_HOST non valido è per lo più irrilevante qui. Il client si è connesso specificando che voleva parlare con (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) ma il tuo server non è configurato con host virtuali per quelli. La parte importante è lIP di sinistra (sebbene se enumeri sia linterfaccia esterna che quella di VirtualBox, probabilmente significa che proviene dal tuo PC).
Commenti
- Lindirizzo di origine era lIP del mio PC, un IP gateway virtuale (virtualbox networking) e lIP gateway del router (qualcosa come 192.168.1.1). Questo indica che il mio PC è compromesso?
- @TechMedicNYC, quindi hai ricevuto diverse tre richieste a / HNAP1 / cinung da diversi indirizzi IP?
- I ' ho aggiornato il corpo della domanda per maggiore chiarezza. Mostra gli IP e le posizioni di origine di esempio.
- @TechMedicNYC Ho aggiornato la mia risposta. La parte importante sono gli indirizzi IP a sinistra, non quelli nellintestazione dellhost.