Recientemente, vi algunas entradas extrañas en mi servidor web local. La cosa es que no sé si el ataque vino desde fuera de la red o desde una máquina infectada. He leído un poco sobre el ataque hnap
, pero todavía no estoy seguro de qué hacer al respecto. Esencialmente, los enrutadores de Cisco tienen vulnerabilidades debido al "protocolo de administración de red doméstica". Y por lo que he leído no hay solución.
Si es un sistema infectado, me gustaría localizarlo escuchando el tráfico de la red, pero no estoy seguro de cómo hacerlo. Intenté usar snort
y wireshark
, pero estos programas parecen bastante avanzados. Alternativamente, estoy pensando que si alguien pudiera comprometer mi red al descifrar la clave de la red, podrían unirse a la red y ejecutar los escaneos que deseen. De lo contrario, tal vez alguien acceda desde fuera de la red local.
Aquí están las entradas (actualizadas para mostrar múltiples solicitudes de mi PC):
[03/Sep/2017 11:35:13] "GET / HTTP/1.1" 400 67505
Invalid HTTP_HOST header: '192.168.yyy.yyy'.
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.1' (Router IP).
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '192.168.1.2' (PC IP).
[03/Sep/2017 11:35:33] "GET /HNAP1/ HTTP/1.1" 400 67699
Invalid HTTP_HOST header: '10.1.0.1' (Virtualbox IP on PC).
¿Qué puedo hacer para localizar el problema? ¿Hay una manera fácil de escuchar más de estas solicitudes y señalar la fuente? ¿Hay mejores escáneres de malware / spyware que puedan detectar un gusano?
(Utilizo un antivirus actualizado y no detecta nada, de modo que hay eso).