Simple File Transfer Protocol

4

Il mio SIEM ha prodotto qualcosa di intrigante. Sono andato alla ricerca di connessioni SSH non autorizzate e ho cercato il protocollo SFTP per errore. Ho trovato un server Web Windows che si collega dalla porta 80 a un indirizzo IP esterno sulla porta 115.

Nella ricerca di questo ho scoperto RFC913: SFTP (Simple File Transfer Protocol) , un protocollo di trasferimento file proposto che non è mai stato ampiamente adottato, che è stato proposto di esistere tra TFTP e FTP, ed eseguito sulla porta 115. IETF registra la porta solo per scopi storici.

Ho eseguito AV e un paio di strumenti rootkit contro il server e non ho scoperto alcuna infezione.

La mia domanda è: qualcuno è a conoscenza di malware, trojan, ecc. che sfruttano il semplice trasferimento di file?

    
posta Snark Knight 08.08.2018 - 19:17
fonte

1 risposta

1

Hai provato a catturare pacchetti? Ciò consentirebbe di determinare se i dati sono ciò che ci si aspetta da SFTP.

Anche se il motivo per cui il tuo server web sta eseguendo connessioni in uscita verso un server che non conosci sulla porta 115 è allarmante per me e vale la pena indagare.

    
risposta data 08.08.2018 - 20:13
fonte

Leggi altre domande sui tag