Recent, am văzut câteva intrări ciudate pe serverul meu de internet numai local. Problema este că nu știu dacă atacul a venit din afara rețelei sau de la o mașină infectată. Am citit puțin despre atacul hnap, dar încă nu sunt sigur ce să fac în legătură cu asta. În esență, routerele Cisco au vulnerabilități din cauza „protocolului de administrare a rețelei de domiciliu”. Și din ceea ce am „citit, nu există nicio soluție.
Dacă este un sistem infectat, aș dori să îl identific ascultând traficul din rețea, dar nu sunt sigur cum să fac asta. am încercat să folosesc snort și wireshark, dar aceste programe par destul de avansate. Alternativ, mă gândesc că, dacă cineva ar putea compromite rețeaua crăpând cheia de rețea, ar putea să se alăture rețelei și să ruleze orice scanări doresc. Altfel, poate cineva accesează din afara rețelei locale.
Iată intrările (actualizate pentru a afișa mai multe solicitări de pe computerul meu) :
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC). Ce pot face pentru a depista problema? Există o modalitate ușoară de a asculta mai multe dintre aceste solicitări și de a identifica sursa? Există mai multe scanere malware / spyware care ar putea să apară pe un vierme?
(Eu folosesc un antivirus actualizat și nu detectează nimic, așa că există.)
Răspuns
Ce ați găsit a fost acel anunț dispozitivul conectat la serverul dvs. web și solicitat / HNAP1 /
HNAP este un protocol pentru gestionarea dispozitivelor, deci doar cu aceste informații despre atacurile potențiale , cred că acest lucru a fost făcut de un dispozitiv din rețeaua dvs. care acceptă acest protocol (de ex. poate încerca să obțină de la router adresa IP publică).
Linia de jurnal ar trebui să conțină adresa IP a clientului care a efectuat o astfel de solicitare, de exemplu:
192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 în acest caz, solicitarea ar fi fost efectuată de 192.168.123.123.
¹ Presupun că utilizați Format jurnal comun , dacă utilizați un format personalizat, ar trebui să adăugați adresa de la distanță undeva)
În ceea ce privește actualizarea, Antetul HTTP_HOST nevalid »mesajul este în mare parte irelevant aici. Clientul s-a conectat specificând că vrea să vorbească cu (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1), dar serverul dvs. nu este configurat cu gazde virtuale pentru acestea. Piesa importantă este IP-ul din stânga (deși dacă a enumerat atât interfața externă, cât și interfața VirtualBox, înseamnă probabil că a venit de pe computerul dvs.).
Comentarii
- Adresa sursă a fost IP-ul PC-ului meu, un gateway virtual IP (virtualbox networking) și routerul gateway IP (ceva de genul 192.168.1.1). Acest lucru indică faptul că computerul meu este compromis?
- @TechMedicNYC, deci ați primit mai multe trei solicitări către / HNAP1 / cinung de la adrese IP diferite?
- I ' Am actualizat corpul întrebării pentru claritate. Afișează exemplul de surse IP și locații.
- @TechMedicNYC Mi-am actualizat răspunsul. Elementul important sunt adresele IP din stânga, nu cele din antetul gazdă.