Ostatnio zauważyłem dziwne wpisy na moim lokalnym serwerze WWW. Rzecz w tym, że nie wiem, czy atak nastąpił spoza sieci, czy z zainfekowanej maszyny. Przeczytałem trochę o ataku hnap, ale nadal nie jestem pewien Co z tym zrobić. Zasadniczo routery Cisco mają luki w zabezpieczeniach wynikające z „protokołu administrowania siecią domową”. Z tego, co przeczytałem, nie ma rozwiązania.

Jeśli jest to zainfekowany system, chciałbym go zlokalizować, nasłuchując ruchu sieciowego, ale nie jestem pewien, jak to zrobić. próbowałem użyć snort i wireshark, ale te programy wydają się dość zaawansowane. Ewentualnie myślę, że gdyby ktoś był w stanie przejąć moją sieć, złamanie klucza sieciowego może przyłączyć się do sieci i wykonywać dowolne skanowanie. W przeciwnym razie może ktoś uzyskuje dostęp spoza sieci lokalnej.

Oto wpisy (zaktualizowane, aby pokazywały wiele żądań z mojego komputera) : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

Co mogę zrobić, aby wyśledzić problem? Czy istnieje łatwy sposób na nasłuchiwanie większej liczby żądań i wskazanie źródła? Czy są lepsze skanery złośliwego oprogramowania / oprogramowania szpiegującego, które mogą wychwytywać robaka?

(Używam aktualnego programu antywirusowego i nic nie wykrywa, więc to jest to.)

Odpowiedź

Udało Ci się znaleźć tę reklamę urządzenie podłączone do Twojego serwera WWW i żądane / HNAP1 /

HNAP to protokół do zarządzania urządzeniami, więc tylko te informacje o potencjalnych atakach Domyślam się, że zostało to zrobione przez urządzenie w Twojej sieci, które obsługuje ten protokół (np. może próbować uzyskać z routera publiczny adres IP).

Twój wiersz dziennika powinien zawierać adres IP klienta, który wykonał takie żądanie ¹ np .: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

w tym przypadku żądanie zostałoby wykonane przez 192.168.123.123.

¹ Zakładam, że używasz Common Log Format , jeśli używasz formatu niestandardowego, powinieneś gdzieś dodać zdalny adres)

Jeśli chodzi o aktualizację, « Nieprawidłowy nagłówek HTTP_HOST »wiadomość jest tutaj w większości nieistotna. Klient połączył się, wskazując, że chce rozmawiać (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), ale serwer nie ma skonfigurowanych hostów wirtualnych. Ważnym elementem jest lewy adres IP (chociaż jeśli wyliczył zarówno interfejs zewnętrzny, jak i interfejs VirtualBox, prawdopodobnie oznacza to, że pochodzi z twojego komputera).

Komentarze

  • Adresem źródłowym był adres IP mojego komputera, adres IP bramy wirtualnej (sieć virtualbox) i adres IP bramy routera (na przykład 192.168.1.1). Czy to oznacza, że mój komputer jest zagrożony?
  • @TechMedicNYC, więc masz kilka trzech żądań do / HNAP1 / cinung z różnych adresów IP?
  • I ' zaktualizowaliśmy treść pytania dla jasności. Pokazuje przykładowe źródłowe adresy IP i lokalizacje.
  • @TechMedicNYC Zaktualizowałem moją odpowiedź. Ważnym elementem są adresy IP po lewej stronie, a nie te w nagłówku Host.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *