Ejecución del código de la etapa de carga útil de JavaHole v2 JAVA - ¡¿Qué significa esta actividad ?! No puedo contactar con el propietario del servidor para verificar

Question

Ejecución del código de la etapa de carga útil de JavaHole v2 JAVA - ¡¿Qué significa esta actividad ?! No puedo contactar con el propietario del servidor para verificar

#1 de O'Niel (1 votos)
#2 de Sacrifice (0 votos)
#3 de Jaroj (-1 votos)

3

Un analista se encontró con esta alerta, BlackHole Toolkit v2 JAVA Payload Stage Code Execution de Checkpoint IPS proveniente de un servidor, el evento se registra como un intento de conexión saliente bloqueado, y para sorpresa de todos, se ha activado dos veces en promedio Cada hora durante meses (lo sé).

Se registró una vez hace mucho tiempo cuando se vio por primera vez, pero el propietario del servidor dijo que no había encontrado nada en él.

Lo extraño es que la conexión es solo y siempre es un intento saliente de una IP 89.187.145.139 , lo que lleva a un sitio web llamado udger.com .

Este sitio no significa nada para nadie y no tiene actividad maliciosa atribuida.

¿Puede alguien, por favor, darnos una idea de lo que está pasando y cómo abordarlo?

malware java incident-analysis incident-response check-point

pregunta lambie 29.07.2016 - 16:15

fuente

3 respuestas

Lea otras preguntas en las etiquetas malware java incident-analysis incident-response check-point

¿Es un enrutador sin firewall de entrada un problema de seguridad en Internet? ¿Virtualizar un firewall de hardware?

score 1 · Answer 1

Significa que alguien utiliza el Blackhole exploit-kit : un tipo de colección de herramientas que le permite explotar vulnerabilidades fácil, es una herramienta subterránea y distribuida principalmente por sitios web relacionados con delitos: trata de explotar una vulnerabilidad en su servidor.

Pero su IPS está detectando & evitando eso.

Lo que haría en su situación es asegurarme primero de que todo el software (especialmente el de Java) esté actualizado, e intente descargue el kit de explotación de este sitio web acreditado (¡bajo su propio riesgo!) e intente atacar su propio sitio web con ese kit. Realice una copia de seguridad de su sitio web configurándolo en otra máquina (localhost) sin IPS, y pruébelo.

De esta forma, puedes descubrir lo que está mal.

score 0 · Answer 2

Bueno, primero el analista retirará las sesiones del paquete para determinar si es un falso positivo o no. ¿Se parece al tráfico de devolución de llamada? ¿Envía información adicional? El hecho de que la computadora en cuestión intente comunicarse en momentos precisos a un centro de comando y control me haría creer que puede estar infectada, pero el firewall está bloqueando la conexión saliente. Por supuesto, podría ser cualquier programa, así que creo que la solución más fácil y rápida sería volver a crear una imagen de la máquina.

score -1 · Answer 3

-1

Supongo que se trata de descargar / actualizar el archivo de datos para el análisis. La solicitud es a data.udger.com. Consulte ... enlace

respondido por el Jaroj 02.12.2016 - 09:24

fuente