Double user-agent. Malware?

0

Il luogo in cui lavoro a volte sta ricevendo un avviso dal NIPS che afferma:

[1:30918:2] "MALWARE-CNC User-Agent known malicious user agent - User-Agent User-Agent Mozilla"

L'agente utente nel paquet è:

User-Agent: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31

Arriva da alcuni clienti che accedono al nostro sito web. In pratica cambia indirizzo IP. O quello o più client sono infetti. La regola indica che il client potrebbe essere infettato da alcuni virus che tentano di connettersi a un server di comando e controllo. È un bene che questo paquet venga dall'esterno, perché il contrario significherebbe che saremmo infetti. Quello che non capisco è perché sta cercando di comunicare con noi? Ovviamente non è un navigatore legittimo come Chrome o Firefox, ma piuttosto uno script che cerca di assomigliarlo. Non dovrebbe provare a comunicare con il server C & C? Ciò significa che i nostri server sono infetti (o sono stati infettati a un certo punto) con qualche tipo di C / amp hop / proxy che reindirizza le informazioni?

    
posta VBTech 13.12.2018 - 16:40
fonte

1 risposta

3

I client Web hanno il diritto di passare qualsiasi User-Agent stringa che gli piace. Non vi è alcun motivo valido per negare l'accesso solo perché il NIP non può dare un senso alla stringa dell'utente-agente. Se lo lasci fare, allora potresti negare l'accesso da utenti legittimi con configurazioni browser non mainstream.

Ti consiglio di configurare il tuo NIPS per bloccare il blocco di queste richieste, a meno che non riesca a trovare qualcosa che effettivamente sia di loro interesse. Qualcosa effettivamente fishy potrebbe essere se la stringa contiene un tentativo di fare un'iniezione SQL o XSS injection (sperando che gli user-agent vengano archiviati in un database e / o visualizzati in un'interfaccia web e quelli no disinfettare correttamente il loro input).

    
risposta data 13.12.2018 - 17:23
fonte

Leggi altre domande sui tag