Recentemente, ho visto alcune voci strane sul mio server web solo locale. Il fatto è che non so se l'attacco è venuto da fuori dalla rete o da una macchina infetta. Ho letto un po 'sull'attacco hnap
, ma non sono ancora sicuro di cosa fare al riguardo. Essenzialmente, i router Cisco hanno delle vulnerabilità a causa del "protocollo di amministrazione della rete domestica". E da quello che ho letto non c'è soluzione.
Se si tratta di un sistema infetto mi piacerebbe individuarlo ascoltando il traffico di rete, ma non sono sicuro di come farlo. Ho provato a utilizzare snort
e wireshark
, ma questi programmi sembrano abbastanza avanzati. In alternativa, penso che se qualcuno fosse in grado di compromettere la mia rete spezzando la chiave di rete, potrebbe unirsi alla rete ed eseguire tutte le scansioni che desidera. Altrimenti, forse qualcuno sta accedendo dall'esterno della rete locale.
Ecco le voci (aggiornate per mostrare più richieste dal mio PC):
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
Invalid HTTP_HOST header: '192.168.yyy.yyy'.
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.1' (Router IP).
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.2' (PC IP).
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '10.1.0.1' (Virtualbox IP on PC).
Che cosa posso fare per rintracciare il problema? C'è un modo semplice per ascoltare più di queste richieste e individuare la fonte? Esistono migliori scanner per malware / spyware che potrebbero essere rilevati da un worm?
(Uso un antivirus aggiornato e non rileva nulla, quindi c'è.)