/ hnap1 / escanea el enrutador comprometido o el gusano?

1

Recientemente, vi algunas entradas extrañas en mi servidor web local. La cosa es que no sé si el ataque vino desde fuera de la red o desde una máquina infectada. He leído un poco sobre el ataque hnap , pero todavía no estoy seguro de qué hacer al respecto. Esencialmente, los enrutadores de Cisco tienen vulnerabilidades debido al "protocolo de administración de red doméstica". Y por lo que he leído no hay solución.

Si es un sistema infectado, me gustaría localizarlo escuchando el tráfico de la red, pero no estoy seguro de cómo hacerlo. Intenté usar snort y wireshark , pero estos programas parecen bastante avanzados. Alternativamente, estoy pensando que si alguien pudiera comprometer mi red al descifrar la clave de la red, podrían unirse a la red y ejecutar los escaneos que deseen. De lo contrario, tal vez alguien acceda desde fuera de la red local.

Aquí están las entradas (actualizadas para mostrar múltiples solicitudes de mi PC):

[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
Invalid HTTP_HOST header: '192.168.yyy.yyy'.

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.1' (Router IP).

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.2' (PC IP).

[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '10.1.0.1' (Virtualbox IP on PC).

¿Qué puedo hacer para localizar el problema? ¿Hay una manera fácil de escuchar más de estas solicitudes y señalar la fuente? ¿Hay mejores escáneres de malware / spyware que puedan detectar un gusano?

(Utilizo un antivirus actualizado y no detecta nada, de modo que hay eso).

    
pregunta James 04.09.2017 - 00:54
fuente

1 respuesta

3

Lo que encontró fue que un dispositivo se conectó a su servidor web y solicitó / HNAP1 /

HNAP es un protocolo para administrar dispositivos, por lo que con solo esta información sobre posibles ataques, supongo que esto tiene ha sido realizado por un dispositivo en su red que admite este protocolo (por ejemplo, puede estar intentando obtener de su enrutador la dirección IP pública).

Su línea de registro debe contener la dirección IP del cliente que realizó dicha solicitud, por ejemplo:

192.168.123.123 - - [03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505

en este caso, la solicitud se habría realizado mediante 192.168.123.123 .

¹ Supongo que está utilizando Formato de registro común , si está usando un formato personalizado, debe agregar el dirección remota en algún lugar)

Con respecto a su actualización, el mensaje «Encabezado HTTP_HOST no válido» en su mayoría es irrelevante aquí. El cliente se conectó especificando que quería hablar con (192.168.yyy.yyy / 192.168.1.1 / 192.168.1.2 / 10.1.0.1) pero su servidor no está configurado con hosts virtuales para esos. La pieza importante es el IP de la izquierda (aunque si enumeró la interfaz externa y la de VirtualBox, probablemente significa que provino de tu PC).

    
respondido por el Ángel 04.09.2017 - 01:09
fuente

Lea otras preguntas en las etiquetas