Onlangs zag ik enkele vreemde vermeldingen op mijn lokale webserver. Het punt is dat ik niet weet of de aanval van buiten het netwerk kwam of van een geïnfecteerde machine. Ik heb iets gelezen over de hnap -aanval, maar ik weet het nog steeds niet zeker wat u eraan kunt doen. In wezen hebben Cisco-routers kwetsbaarheden vanwege het “thuisnetwerkbeheerprotocol”. En van wat ik heb gelezen is er geen oplossing.

Als het een geïnfecteerd systeem is, zou ik het graag willen lokaliseren door naar het netwerkverkeer te luisteren, maar ik weet niet zeker hoe ik dat moet doen. heb geprobeerd snort en wireshark te gebruiken, maar deze programmas lijken behoorlijk geavanceerd. Als alternatief denk ik dat als iemand mijn netwerk kon compromitteren door door de netwerksleutel te kraken, kunnen ze lid worden van het netwerk en alle scans uitvoeren die ze willen. Anders gebruikt iemand misschien toegang van buiten het lokale netwerk.

Hier zijn de vermeldingen (bijgewerkt om meerdere verzoeken van mijn pc te tonen) :

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC). 

Wat kan ik doen om het probleem op te sporen? Is er een gemakkelijke manier om naar meer van deze verzoeken te luisteren en de bron te lokaliseren? Zijn er betere malware / spywarescanners die een worm zouden kunnen oppikken?

(Ik gebruik een up-to-date antivirusprogramma en het detecteert niets, dus dat is er.)

Antwoord

Wat u vond, was die advertentie evice verbonden met uw webserver en gevraagd / HNAP1 /

HNAP is een protocol voor het beheren van apparaten, dus met alleen deze informatie over mogelijke aanvallen , ik vermoed dat dit is gedaan door een apparaat op uw netwerk dat dit protocol ondersteunt (bijv. het kan proberen het openbare IP-adres van uw router te verkrijgen).

Uw logregel moet het IP-adres bevatten van de client die een dergelijk verzoek heeft uitgevoerd, bijvoorbeeld:

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 

in dit geval zou het verzoek zijn uitgevoerd door 192.168.123.123.

¹ Ik neem aan dat u Common Log Format , als u een aangepast formaat gebruikt, moet u het externe adres ergens toevoegen)


Met betrekking tot uw update, de « Ongeldig HTTP_HOST-headerbericht is hier meestal niet relevant. De client maakte verbinding en gaf aan dat hij wilde spreken met (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), maar uw server is niet geconfigureerd met virtuele hosts daarvoor. Het belangrijkste stuk is het linker IP-adres (hoewel als het zowel de externe als de VirtualBox-interface opsomt, dit waarschijnlijk van uw pc komt).

Opmerkingen

  • Het bronadres was mijn pc-IP, een virtuele gateway-IP (virtualbox-netwerken) en de router-gateway-IP (zoiets als 192.168.1.1). Betekent dit dat mijn pc is gecompromitteerd?
  • @TechMedicNYC, dus u had drie verschillende verzoeken aan / HNAP1 / cinung van verschillende IP-adressen?
  • I ' hebben de hoofdtekst van de vraag bijgewerkt voor de duidelijkheid. Het toont de voorbeeld IP-adressen en locaties van de bron.
  • @TechMedicNYC Ik heb mijn antwoord bijgewerkt. Het belangrijkste stuk zijn de IP-adressen aan de linkerkant, niet die in de Host-header.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *