The Shadow Server Foundation intenta constantemente obtener acceso a mDNSResponder

4

Actualización de septiembre de 2018: Los eventos que se describen a continuación siguen ocurriendo hasta el día de hoy, aunque con menos frecuencia en los servidores de The Shadow Server Foundation. Hasta ahora he negado el acceso a la mayoría de sus direcciones IP, pero recibo muchos más intentos de conexión de otros servicios como Leaseweb y todo eso. Sin embargo, todavía me desconcierta por qué quieren conectarse. AFAIK a través de Bonjour mDNSResponder anuncia servicios de red (como el intercambio de archivos AFP) proporcionados por mi computadora, así como mi nombre ".local" autoelegido.

En principio, niego cualquier conexión a servidores externos que no sean de Apple.

Cualquier otra información sería muy apreciada.

Recientemente estoy viendo intentos de acceso de servidores que pertenecen a The Shadow Server Foundation a mDNSResponder (a través de Little Snitch) . Obtuve intentos de acceso de 184.105.247.199 , 184.105.247.227 y 184.105.247.207 . Si bien su misión puede sonar loable,

  

Establecida en 2004, la Fundación Shadowserver reúne información sobre el lado más oscuro de Internet. Estamos compuestos por profesionales de seguridad voluntarios de todo el mundo. Nuestra misión es entender y ayudar a poner fin a los delitos cibernéticos de alto riesgo en la era de la información.

No aprecio estos intentos, así que los bloqueo (¡gracias, Little Snitch!).

Mi configuración de red se ve así:

EnunintentoporbloqueartodossusrangosdeIP,encontré esta página web en myip .ms, que enumera estos nombres de dominio en "Sitios web alojados por The Shadow Server Foundation". Entre ellos algunos nombres de dominio de dudoso sonido:

  1. malwr.com
  2. tvbsp.com
  3. foottraffix.com
  4. bilescotrej.com
  5. make-cash-at-home.com
  6. profit-case.com
  7. alfa-cash.com
  8. milerteddy.com
  9. sexy-ladies-wantmeet.com
  10. ladies-with-big-tits.com

Sin haber visitado ninguno de estos, me pregunto si alguien sabe algo sobre estos sitios. ¿Por qué The Shadow Server Foundation intenta obtener acceso a mi Mac?

    
pregunta Alex Ixeras 28.08.2017 - 12:08
fuente

1 respuesta

1

Suposición

Esos sitios web son (para la mayoría de ellos) bien conocidos honeypots . Están diseñados para hacer muchas cosas, incluyendo atraer bots a sus redes.

No creo que la base del servidor sombra analice la IP aleatoria para recopilar información. Si terminó en su lista, es probable que su IP global se haya comportado mal o haya hecho algo sospechoso.

Respuesta

Su IP global no es su mac, es la puerta de enlace WAN de su enrutador. Con la información que proporcionó, solo sabemos que uno o varios dispositivos dentro de su LAN podrían de alguna manera se han portado mal. Puede ser cualquier cosa con una dirección IP privada obtenida a través del enrutador de su ISP:

Si hay dispositivos comprometidos, hay que encontrarlo. No quieres formar parte de una botnet .

Un segundo supuesto podría ser que alguien secuestró tu wifi e hizo algunas cosas desagradables. Un tercer supuesto podría ser que su ISP se está portando mal, si es el caso, no puede hacer nada al respecto, así que mantengámonos en esas dos posibilidades:

  • Uno o varios dispositivos conectados que posees se están portando mal.

  • Has roto tu WLAN.

Intentaré guiarte sobre cómo realizar algunas investigaciones adicionales.

Profundizando

  • ¿Ha fallado la WLAN?

Objetivo: encuentre un dispositivo conectado en su WLAN que no posee.

Cómo: Desde su enrutador, supervise los Arrendamientos de IP / la dirección MAC durante al menos una semana. Compruebe los registros de arrendamientos de IP anteriores.

  • ¿Dispositivos comprometidos?

Objetivo: encuentre comportamientos inesperados en los dispositivos conectados que posee (conexión de servidor C y C, puerto extraño / socket / protocolo, conexiones IP de dominio / base de servidor de sombra)

Cómo: Capturar todos los paquetes salientes de su enrutador durante al menos 24 horas, analizar y filtrar el .pcap con wireshark o su herramienta de analizador de paquetes favorita.

Buena suerte.

    
respondido por el Baptiste 04.09.2017 - 08:08
fuente

Lea otras preguntas en las etiquetas