Shadow Server Foundation cerca costantemente di ottenere l'accesso a mDNSResponder

Naviga le tue risposte
4

Aggiornamento settembre 2018: gli eventi descritti di seguito si verificano ancora oggi, meno frequentemente dai server di Shadow Server Foundation. Ormai ho negato l'accesso alla maggior parte dei loro indirizzi IP, ma ottengo molti più tentativi di connessione da altri servizi come Leaseweb e quant'altro. Tuttavia, mi lascia ancora dubbi sul motivo per cui vogliono connettersi. AFAIK via Bonjour mDNSResponder pubblicizza servizi di rete (come la condivisione di file AFP) forniti dal mio computer, nonché il mio nome ".local" prescelto.

In linea di principio, rifiuto qualsiasi connessione con server esterni che non siano Apple.

Ogni ulteriore approfondimento sarebbe molto apprezzato.

Recentemente sto vedendo tentativi di accesso da parte di server appartenenti a Shadow Server Foundation a mDNSResponder (tramite Little Snitch in realtà) . Ho ottenuto i tentativi di accesso da 184.105.247.199 , 184.105.247.227 e 184.105.247.207 . Mentre la loro missione potrebbe sembrare lodevole,

Established in 2004, The Shadowserver Foundation gathers intelligence on the darker side of the internet. We are comprised of volunteer security professionals from around the world. Our mission is to understand and help put a stop to high stakes cybercrime in the information age.

Non apprezzo questi tentativi, quindi li blocco (grazie, Little Snitch!).

La mia configurazione di rete è simile a questa:

NeltentativodibloccaretuttiilorointervalliIP,misonoimbattutoin questa pagina web su myip .ms, che elenca questi nomi di dominio in "Siti web ospitati da The Shadow Server Foundation". Tra questi alcuni nomi di dominio dal suono discutibile:

  1. malwr.com
  2. tvbsp.com
  3. foottraffix.com
  4. bilescotrej.com
  5. make-cash-at-home.com
  6. profit-case.com
  7. alfa-cash.com
  8. milerteddy.com
  9. sexy-ladies-wantmeet.com
  10. ladies-with-big-tits.com

Senza aver visitato nessuno di questi, mi chiedo se qualcuno sa qualcosa su questi siti. Perché The Shadow Server Foundation sta tentando di accedere al mio Mac?

    
posta Alex Ixeras 28.08.2017 - 12:08
fonte

1 risposta

1

Assunzione

Questi siti Web sono (per la maggior parte) ben noti honeypots . Sono progettati per fare molte cose, incluso attirare i bot nelle loro reti.

Non penso che il fondamento del server shadow analizzi l'IP casuale per la raccolta di informazioni. Se sei finito nella loro lista, c'è una certa probabilità che il tuo IP globale si sia comportato male o abbia fatto qualcosa di sospetto.

risposta

Il tuo IP globale non è il tuo mac, è il gateway WAN del tuo router. Con le informazioni che hai fornito, sappiamo solo che uno o più dispositivi all'interno della tua potrebbe potrebbe essersi comportato male. Può essere qualsiasi cosa con un indirizzo IP privato ottenuto tramite il router dell'ISP:

Se c'è un dispositivo compromesso, devi trovarlo. Non vuoi far parte di una botnet .

Una seconda ipotesi potrebbe essere che qualcuno abbia dirottato il wifi e abbia fatto cose cattive. Un terzo presupposto potrebbe essere che il tuo ISP stia male, se è il caso non puoi fare nulla al riguardo, quindi tieniti fedele a queste due possibilità:

  • Uno o più dispositivi collegati che possiedi sono inadeguati.

  • La tua rete WLAN è stata violata.

Cercherò di guidarti su come eseguire ulteriori indagini.

Andando più in profondità

  • Violazione della WLAN?

Obiettivo: trova un dispositivo connesso sulla rete WLAN che non possiedi.

Procedura: dal router, monitorare i lease IP / l'indirizzo MAC per almeno una settimana. Controlla i log dei lease IP passati.

  • Dispositivi compromessi?

Obiettivo: trova comportamenti imprevisti dai dispositivi collegati che possiedi. (Connessione server C & C, utilizzo strano porta / socket / protocollo, base server shadow IP / connessioni in uscita dominio)

Come: acquisire tutti i pacchetti in uscita dal router per almeno 24 ore, analizzare e filtrare .pcap con wireshark o il tuo strumento di analisi dei pacchetti preferiti.

Buona fortuna.

    
risposta data 04.09.2017 - 08:08
fonte

Leggi altre domande sui tag

Monitoraggio Ip del laptop rubato Rete nascosta che si collega continuamente che non riesco a disconnettere