/ hnap1 / scansioni router compromesso o worm?

1

Recentemente, ho visto alcune voci strane sul mio server web solo locale. Il fatto è che non so se l'attacco è venuto da fuori dalla rete o da una macchina infetta. Ho letto un po 'sull'attacco hnap , ma non sono ancora sicuro di cosa fare al riguardo. Essenzialmente, i router Cisco hanno delle vulnerabilità a causa del "protocollo di amministrazione della rete domestica". E da quello che ho letto non c'è soluzione.

Se si tratta di un sistema infetto mi piacerebbe individuarlo ascoltando il traffico di rete, ma non sono sicuro di come farlo. Ho provato a utilizzare snort e wireshark , ma questi programmi sembrano abbastanza avanzati. In alternativa, penso che se qualcuno fosse in grado di compromettere la mia rete spezzando la chiave di rete, potrebbe unirsi alla rete ed eseguire tutte le scansioni che desidera. Altrimenti, forse qualcuno sta accedendo dall'esterno della rete locale.

Ecco le voci (aggiornate per mostrare più richieste dal mio PC):

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
Invalid HTTP_HOST header: '192.168.yyy.yyy'.

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.1' (Router IP).

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.2' (PC IP).

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '10.1.0.1' (Virtualbox IP on PC).

Che cosa posso fare per rintracciare il problema? C'è un modo semplice per ascoltare più di queste richieste e individuare la fonte? Esistono migliori scanner per malware / spyware che potrebbero essere rilevati da un worm?

(Uso un antivirus aggiornato e non rileva nulla, quindi c'è.)

    
posta James 04.09.2017 - 00:54
fonte

1 risposta

3

Quello che hai trovato è stato un dispositivo connesso al tuo server web e richiesto / HNAP1 /

HNAP è un protocollo per la gestione dei dispositivi, quindi con solo queste informazioni su potenziali attacchi, la mia ipotesi è che questo abbia è stato eseguito da un dispositivo sulla rete che supporta questo protocollo (ad esempio, potrebbe tentare di ottenere dal router l'indirizzo IP pubblico).

La riga di log deve contenere l'indirizzo IP del client che ha eseguito tale richiesta, ad esempio:

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

in questo caso, la richiesta sarebbe stata eseguita da 192.168.123.123 .

¹ Suppongo che tu stia utilizzando Formato log comune , se stai utilizzando un formato personalizzato, devi aggiungere il indirizzo remoto da qualche parte)

Per quanto riguarda il tuo aggiornamento, il messaggio «Intestazione HTTP_HOST non valida» è per lo più irrilevante qui. Il client si è connesso specificando di voler parlare con (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) ma il proprio server non è configurato con host virtuali per questi. Il pezzo importante è l'IP a sinistra (anche se se enumera sia l'interfaccia esterna che quella VirtualBox, probabilmente significa che proviene dal tuo PC).

    
risposta data 04.09.2017 - 01:09
fonte

Leggi altre domande sui tag