Serve aiuto per rilevare un difetto o una vulnerabilità in una rete

Naviga le tue risposte
1

Supponiamo che il mio indirizzo IP pubblico sia A.B.C.D e che abbia un server Linux all'interno della mia rete che abbia l'% X.Y.Z.T e che io abbia una certa apertura nel server X.Y.Z.T ma quella stessa porta è chiusa nel mio router principale in modo che A.B.C.D:PORT non possa essere raggiunto da una rete esterna.

Il fatto è che sono stato attaccato da qualcuno che ha sfruttato la mia risorsa a X.Y.Z.T:PORT accedendo tramite (secondo i log del mio server) A.B.C.D:PORT

Logicamente A.B.C.D:PORT cold non è accessibile dall'esterno della mia rete poiché la porta è chiusa e l'IP dell'utente malintenzionato non ha alcun indirizzo NAT all'interno della mia rete. Quindi la mia domanda è: come può succedere qualcosa di simile?

Ti prego di capire che non mi aspetto una risposta completa a questo, ho solo bisogno di alcuni indizi per iniziare a cercare (sono un principiante assoluto nelle reti).

    
posta Fourat 18.10.2016 - 00:10
fonte

2 risposte

2

Risposta semplice: Inizia a sniffare la tua rete e scopri cosa sta succedendo. Dopo questo lavoro con quello che hai visto.

Fonti, destinazioni, pacchetti in entrata, pacchetti in uscita e possibilmente il loro contenuto. È tutto lì se puoi prendere.

Annusare la tua rete e capire come questa connessione viene stabilita senza supposizioni è la chiave per risolvere il tuo problema, quindi puoi iniziare a lavorare su ciò che sta realmente accadendo.

Scopri come lascia la tua rete e rilasciala.

    
risposta data 18.10.2016 - 00:30
fonte
-1

in realtà come hai detto nessuno dall'esterno può stabilire una connessione dall'esterno alla porta sul router 

x.y.z.t <-----------------------a.b.c.d:port  |  <-----cannot access

ma non possiamo negare il possibile TCP inverso da uno qualsiasi dei noti [reverse shell tramite ssh, php shell, meterpetor] o metodo sconosciuto 

x.y.z.t <===================> a.b.c.d:port<============>

come un programma malizioso inattivato come il port forwarding di ssh shell tunnel che è stato collegato alla porta che hai citato sul router e connesso alla shell dell'attaccante, da lì ora sei vulnerabile ad essere attaccato da un attaccante remoto tramite quella porta NATTED

    
risposta data 22.10.2016 - 15:36
fonte

Leggi altre domande sui tag

Perché Google non blocca la disconnessione CSRF? Metodologia di valutazione del rischio ISO 27001