Protocolo simple de transferencia de archivos

4

Mi SIEM ha producido algo intrigante. Busqué conexiones SSH no autorizadas y busqué el protocolo SFTP por error. Encontré un servidor web de Windows que se conecta desde el puerto 80 a una dirección IP externa en el puerto 115.

Al investigar esto, descubrí RFC913: Protocolo simple de transferencia de archivos (SFTP) , un protocolo de transferencia de archivos propuesto que nunca fue ampliamente adoptado, se propuso que existiera entre TFTP y FTP, y se ejecutó en el puerto 115. IETF registra el puerto solo con fines históricos.

He ejecutado AV y un par de herramientas de rootkit contra el servidor y no he descubierto ninguna infección.

Mi pregunta es, ¿alguien está al tanto de cualquier malware, troyanos, etc. que aproveche la transferencia de archivos simple?

    
pregunta Snark Knight 08.08.2018 - 19:17
fuente

1 respuesta

1

¿Has probado una captura de paquetes? Eso le permitiría determinar si los datos son lo que espera de SFTP.

Aunque la razón por la que su servidor web está realizando conexiones salientes a un servidor que no conoce en el puerto 115 es alarmante para mí y vale la pena investigar.

    
respondido por el Joe M 08.08.2018 - 20:13
fuente

Lea otras preguntas en las etiquetas