Recentemente, vi algumas entradas estranhas em meu servidor da web apenas local. O que acontece é que não sei se o ataque veio de fora da rede ou de uma máquina infectada. Li um pouco sobre o ataque hnap, mas ainda não tenho certeza o que fazer sobre isso. Essencialmente, os roteadores Cisco têm vulnerabilidades devido ao “protocolo de administração de rede doméstica”. E pelo que li, não há solução.

Se for um sistema infectado, gostaria de localizá-lo ouvindo o tráfego da rede, mas não tenho certeza de como fazer isso. tentei usar snort e wireshark, mas esses programas parecem bem avançados. Como alternativa, estou pensando que se alguém foi capaz de comprometer minha rede por quebrando a chave de rede, eles podem entrar na rede e executar as varreduras que quiserem. Caso contrário, talvez alguém esteja acessando de fora da rede local.

Aqui estão as entradas (atualizadas para mostrar várias solicitações do meu PC) : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

O que posso fazer para rastrear o problema? Existe uma maneira fácil de ouvir mais dessas solicitações e localizar a fonte? Há melhor scanners de malware / spyware que podem pegar um worm?

(Eu uso um antivírus atualizado e ele não está detectando nada, então é isso.)

Resposta

O que você encontrou foi esse anúncio evice conectado ao seu servidor da web e solicitado / HNAP1 /

HNAP é um protocolo para gerenciar dispositivos, portanto, apenas com essas informações sobre ataques em potencial , meu palpite é que isso foi feito por um dispositivo em sua rede que suporta esse protocolo (por exemplo, ele pode estar tentando obter de seu roteador o endereço IP público).

Sua linha de registro deve conter o endereço IP do cliente que realizou tal solicitação, ¹ por exemplo: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

neste caso, a solicitação teria sido realizada por 192.168.123.123.

¹ Presumo que você esteja usando Formato de registro comum , se estiver usando um formato personalizado, você deve adicionar o endereço remoto em algum lugar)

Em relação à sua atualização, o « Cabeçalho HTTP_HOST inválido »a mensagem é irrelevante aqui. O cliente conectado especificando que deseja falar com (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), mas seu servidor não está configurado com hosts virtuais para eles. A parte importante é o IP esquerdo (embora se enumerasse a interface externa e do VirtualBox, provavelmente significa que veio do seu PC).

Comentários

  • O endereço de origem era o IP do meu PC, um IP do gateway virtual (rede virtualbox) e o IP do gateway do roteador (algo como 192.168.1.1). Isso indica que meu PC está comprometido?
  • @TechMedicNYC, então você recebeu três solicitações para / HNAP1 / cinung de diferentes endereços IP?
  • I ' atualizamos o corpo da pergunta para maior clareza. Ele mostra os exemplos de IPs e locais de origem.
  • @TechMedicNYC Eu atualizei minha resposta. A parte importante são os endereços IP à esquerda, não aqueles no cabeçalho do Host.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *