Necesita ayuda para detectar una falla o vulnerabilidad en una red

Navega tus respuestas
1

Supongamos que mi dirección IP pública es A.B.C.D y tengo un servidor Linux dentro de mi red que tiene la IP X.Y.Z.T y tengo algún puerto abierto en el servidor X.Y.Z.T pero ese mismo puerto está cerrado en mi enrutador principal para que no se pueda acceder a A.B.C.D:PORT desde una red externa.

Lo que pasa es que alguien que ha explotado mi recurso en X.Y.Z.T:PORT me ha atacado accediéndolo a través de (según los registros de mi servidor) A.B.C.D:PORT

Lógicamente no se puede acceder a A.B.C.D:PORT cold desde fuera de mi red ya que el puerto está cerrado y la dirección IP del atacante no tiene una dirección NAT dentro de mi red. Entonces mi pregunta es ¿cómo puede suceder algo como esto?

Comprenda que no espero una respuesta completa a eso, solo necesito algunas pistas sobre dónde empezar a buscar (soy un principiante en redes).

    
pregunta Fourat 18.10.2016 - 00:10
fuente

2 respuestas

2

Respuesta simple: Comienza a oler tu red y descubre lo que está sucediendo. Después de este trabajo con lo que habías visto.

Fuentes, destinos, entrada de paquetes, salida de paquetes y posiblemente su contenido. Todo está ahí si puedes atraparlo.

Detectar tu red y comprender cómo se establece esta conexión sin suposiciones es la clave para resolver tu problema, para que puedas comenzar a trabajar en lo que realmente está sucediendo.

Descubre cómo está saliendo de tu red y suéltala.

    
respondido por el RF03 18.10.2016 - 00:30
fuente
-1

en realidad, como usted dijo, ninguno desde el exterior puede establecer una conexión desde el exterior al puerto del enrutador 

x.y.z.t <-----------------------a.b.c.d:port  |  <-----cannot access

pero no podemos negar la posibilidad de un TCP inverso por parte de ninguno de los conocidos [shell inverso a través de ssh, php shell, meterpetor] o método desconocido 

x.y.z.t <===================> a.b.c.d:port<============>

al igual que algún programa malicioso que se inicia como un puerto de reenvío de puerto remoto, ssh shell tunnel se nyó en el puerto que mencionó en el enrutador e inició sesión en el shell del atacante, desde allí ahora es vulnerable a ser atacado por un atacante remoto a través del puerto NATTED / p>     

respondido por el 8zero2.ops 22.10.2016 - 15:36
fuente

Lea otras preguntas en las etiquetas

PCI DSS: un servidor, una función principal (diferentes motores de base de datos) John the Ripper en el archivo de sombra