Nylig så jeg noen merkelige oppføringer på min lokale eneste webserver. Saken er at jeg ikke vet om angrepet kom utenfor nettverket eller fra en infisert maskin. Jeg har lest meg litt opp på hnap
angrepet, men jeg er fortsatt usikker hva du skal gjøre med det. I hovedsak har Cisco-rutere sårbarheter på grunn av «administrasjonsprotokollen for hjemmenettverk.» Og fra det jeg har lest, er det ingen løsning.
Hvis det er et infisert system, vil jeg finne ut av det ved å lytte til nettverkstrafikk, men jeg er ikke sikker på hvordan jeg gjør det. Jeg prøvde å bruke snort
og wireshark
, men disse programmene virker ganske avanserte. Alternativt tenker jeg at hvis noen var i stand til å kompromittere nettverket mitt ved å knekker nettverksnøkkelen, kan de bli med i nettverket og kjøre hvilke skanninger de vil. Ellers har kanskje noen tilgang til utenfor det lokale nettverket.
Her er oppføringene (oppdatert for å vise flere forespørsler fra PCen min) :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).
Hva kan jeg gjøre for å spore opp problemet? Er det en enkel måte å lytte etter flere av disse forespørslene og finne kilden? Er det bedre malware / spyware skannere som kan plukke opp en orm?
(Jeg bruker oppdatert antivirusprogram og det oppdager ikke noe, så det er det.)
Svar
Det du fant var den annonsen enheter koblet til webserveren din og bedt om / HNAP1 /
HNAP er en protokoll for å administrere enheter, så med akkurat denne informasjonen om potensielle angrep , antar jeg at dette har blitt gjort av en enhet i nettverket ditt som støtter denne protokollen (f.eks. det kan være å prøve å skaffe den offentlige IP-adressen fra ruteren din.
Logglinjen din skal inneholde IP-adressen til klienten som utførte en slik forespørsel, ¹ f.eks:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
i dette tilfellet ville forespørselen ha blitt utført av 192.168.123.123
.
¹ Jeg antar at du bruker Vanlig loggformat , hvis du bruker et tilpasset format, bør du legge til fjernadressen et sted)
Når det gjelder oppdateringen din, Ugyldig HTTP_HOST header »-melding er stort sett irrelevant her. Klienten koblet til og spesifiserte at den ønsket å snakke med (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), men serveren din er ikke konfigurert med virtuelle verter for dem. Det viktige stykket er IP-adressen til venstre (selv om den oppregnet både det eksterne og VirtualBox-grensesnittet, betyr det sannsynligvis at det kom fra PC-en din).
Kommentarer
- Kildeadressen var PC-IP-en min, en virtuell gateway-IP (virtualbox-nettverk) og routerens gateway-IP (noe som 192.168.1.1). Betyr dette at PCen min er kompromittert?
- @TechMedicNYC så du hadde flere tre forespørsler om å / HNAP1 / cinung fra forskjellige IP-adresser?
- I ' har oppdatert spørsmålsorganet for klarhet. Det viser eksemplet på kilde-IP-er og steder.
- @TechMedicNYC Jeg oppdaterte svaret mitt. Den viktige delen er IP-adressene til venstre, ikke de som står på Host-overskriften.