BlackHole Toolkit v2 JAVA Payload Stage Code Execution - Cosa significa questa attività ?! Non riesco a impossessarmi del proprietario del server per verificare

3

Un analista ha rilevato questo avviso - BlackHole Toolkit v2 JAVA Payload Stage Code Execution dal IPS del punto di controllo proveniente da un server, l'evento è registrato come un tentativo di connessione in uscita bloccato - e con sorpresa di tutti è scattato in media due volte ogni ora per mesi (lo so).

È stato registrato una volta tanto tempo fa quando è stato visto per la prima volta, ma il proprietario del server ha detto di non aver trovato nulla.

La parte dispari è che la connessione è solo e sempre un tentativo in uscita verso un IP 89.187.145.139 , che porta a un sito web chiamato udger.com .

Questo sito non significa niente per nessuno e non ha alcuna attività malevola ad esso attribuita.

Qualcuno può darci qualche informazione su cosa sta succedendo e su come affrontarlo?

    
posta lambie 29.07.2016 - 16:15
fonte

3 risposte

1

Significa che qualcuno usa il Blackhole exploit-kit - una sorta di raccolta di strumenti che ti consente di sfruttare le vulnerabilità facile, è uno strumento sotterraneo e distribuito principalmente da siti Web relativi alla criminalità - prova a sfruttare una vulnerabilità sul tuo server.

Ma il tuo IPS sta rilevando e amp; impedirlo.

Quello che farei nella tua situazione è assicurarmi che tutto il software (specialmente quello di Java) sia aggiornato e provare a scaricare il kit di exploit da questo sito web rispettabile (a rischio e pericolo!) e provare ad attaccare il tuo sito web usando quel kit. Effettua il backup del tuo sito web impostandolo su un'altra macchina (localhost) con IPS in uscita e provalo.

In questo modo potresti scoprire cosa c'è che non va.

    
risposta data 29.07.2016 - 17:30
fonte
0

Bene, prima l'analista dovrebbe aprire le sessioni di pacchetti per determinare se si tratta di un falso positivo o meno. Assomiglia al traffico di richiamata? Invia ulteriori informazioni? Il fatto che il computer in questione tenti di comunicare in momenti precisi con un centro di comando e controllo mi lascerebbe credere che potrebbe essere infetto ma il firewall sta bloccando la connessione in uscita. Ovviamente potrebbe essere qualsiasi programma, quindi credo che la soluzione più semplice e veloce sarebbe quella di ri-immaginare la macchina.

    
risposta data 17.09.2016 - 21:34
fonte
-1

Suppongo che si tratti di scaricare / aggiornare il file di dati per l'analisi. La richiesta è data.udger.com. Vedi ... link

    
risposta data 02.12.2016 - 09:24
fonte