最近、ローカル専用Webサーバーに奇妙なエントリがいくつか表示されました。攻撃がネットワークの外部からのものなのか、感染したマシンからのものなのかはわかりません。hnap攻撃について少し読んだことがありますが、それでもわかりません。それについて何をすべきか。基本的に、Ciscoルーターには、「ホームネットワーク管理プロトコル」のために脆弱性があります。そして、私が読んだところ、解決策はありません。
感染したシステムの場合は、ネットワークトラフィックを聞いて特定したいのですが、その方法がわかりません。I snortとwiresharkを使用してみましたが、これらのプログラムはかなり進んでいるようです。あるいは、誰かが私のネットワークを侵害できたとしたら、ネットワークキーを解読すると、ネットワークに参加して必要なスキャンを実行できます。そうでない場合は、誰かがローカルネットワークの外部からアクセスしている可能性があります。
エントリは次のとおりです(PCからの複数のリクエストを表示するように更新されています) :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC). 問題を追跡するにはどうすればよいですか?これらのリクエストをさらにリッスンしてソースを特定する簡単な方法はありますか?ワームを検出する可能性のあるマルウェア/スパイウェアスキャナー?
(最新のアンチウイルスを使用していますが、何も検出されないので、それがあります。)
回答
見つけたのはその広告でしたWebサーバーに接続され、要求されたデバイス/ HNAP1 /
HNAP はデバイスを管理するためのプロトコルであるため、潜在的な攻撃に関するこの情報だけを使用します、私の推測では、これはこのプロトコルをサポートするネットワーク上のデバイスによって行われていると思います(例:ルーターからパブリックIPアドレスを取得しようとしている可能性があります。
ログ行には、そのようなリクエストを実行したクライアントのIPアドレスが含まれている必要があります¹。例:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 この場合、リクエストは192.168.123.123によって実行されます。
¹
共通ログ形式、カスタム形式を使用している場合は、どこかにリモートアドレスを追加する必要があります)
更新に関しては、«無効なHTTP_HOSTヘッダー»メッセージは、ここではほとんど関係ありません。クライアントは(192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1)と通信することを指定して接続しましたが、サーバーはそれらの仮想ホストで構成されていません。重要な部分は左側のIPです(外部インターフェースとVirtualBoxインターフェースの両方を列挙している場合は、おそらくPCからのものであることを意味します)。
コメント
- 送信元アドレスは、私のPC IP、仮想ゲートウェイIP(仮想ボックスネットワーキング)、およびルーターゲートウェイIP(192.168.1.1など)でした。これは私のPCが危険にさらされていることを示していますか?
- @TechMedicNYCなので、異なるIPアドレスから/ HNAP1 / cinungに3つのリクエストがありましたか?
- I 'わかりやすくするために質問の本文を更新しました。ソースIPと場所の例が表示されます。
- @TechMedicNYC回答を更新しました。重要な部分は、ホストヘッダーのIPアドレスではなく、左側のIPアドレスです。