Nyligen såg jag några konstiga poster på min lokala webbserver. Saken är att jag inte vet om attacken kom från nätverket eller från en infekterad maskin. Jag har läst lite om hnap attacken, men jag är fortfarande osäker vad man ska göra åt det. I grund och botten har Cisco-routrar sårbarheter på grund av ”administrationsprotokollet för hemnätverk.” Och från det jag har läst finns det ingen lösning.

Om det är ett infekterat system skulle jag vilja peka på det genom att lyssna på nätverkstrafik, men jag är inte säker på hur man gör det. Jag försökte använda snort och wireshark, men dessa program verkar ganska avancerade. Alternativt tänker jag att om någon kunde kompromissa med mitt nätverk genom knäcka nätverksnyckeln, de kan gå med i nätverket och köra vad som helst skanningar de vill. Annars kanske någon kommer åt utanför det lokala nätverket.

Här är posterna (uppdaterade för att visa flera förfrågningar från min dator) : 

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505 Invalid HTTP_HOST header: "192.168.yyy.yyy". [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.1" (Router IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "192.168.1.2" (PC IP). [03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699 Invalid HTTP_HOST header: "10.1.0.1" (Virtualbox IP on PC).

Vad kan jag göra för att spåra problemet? Finns det ett enkelt sätt att lyssna på fler av dessa förfrågningar och hitta källan? Finns det bättre skadlig programvara / spyware-skannrar som kan plocka upp en mask?

(Jag använder uppdaterat antivirusprogram och det upptäcker inget, så det finns det.)

Svar

Vad du hittade var den annonsen enhet ansluten till din webbserver och begärd / HNAP1 /

HNAP är ett protokoll för hantering av enheter, så med just den här informationen om potentiella attacker , min gissning är att detta har gjorts av en enhet i ditt nätverk som stöder detta protokoll (t.ex. det kan försöka få från din router den offentliga IP-adressen).

Din logglinje bör innehålla IP-adressen till klienten som utförde en sådan begäran, ¹ t.ex.: 

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

i det här fallet skulle begäran ha utförts av 192.168.123.123.

¹ Jag antar att du använder Vanligt loggformat , om du använder ett anpassat format bör du lägga till fjärradressen någonstans)

När det gäller din uppdatering, Ogiltigt HTTP_HOST header »-meddelande är mest irrelevant här. Klienten ansluten och specificerade att den ville prata med (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) men din server är inte konfigurerad med virtuella värdar för dem. Det viktiga stycket är IP: n till vänster (även om det räknas upp både det externa och VirtualBox-gränssnittet betyder det förmodligen att det kom från din dator).

Kommentarer

  • Källadressen var min PC-IP, en virtuell gateway-IP (virtualbox-nätverk) och routerns gateway-IP (ungefär 192.168.1.1). Anger detta att min dator är äventyrad?
  • @TechMedicNYC så att du hade flera tre förfrågningar till / HNAP1 / cinung från olika IP-adresser?
  • I ' har uppdaterat frågan för tydlighetens skull. Det visar exempel på IP-källor och platser.
  • @TechMedicNYC Jag uppdaterade mitt svar. Det viktiga är IP-adresserna till vänster, inte de som finns i värdhuvudet.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *