Estaba buscando en mi registro ufw cuando encontré esta línea:
169.229.3.91 - - [19/Feb/2016:13:21:52 +0100] "\xCEA\x81\xCF\x02\x03\xFCAm\xB8\xBF]1\xBE~0^\xCD\xA9\x05(\x8D'\xD9\x9D\x9D\x9C\x15m" 400 166 "-" "-"
¿Esto es un intento de pirateo?
Estaba buscando en mi registro ufw cuando encontré esta línea:
169.229.3.91 - - [19/Feb/2016:13:21:52 +0100] "\xCEA\x81\xCF\x02\x03\xFCAm\xB8\xBF]1\xBE~0^\xCD\xA9\x05(\x8D'\xD9\x9D\x9D\x9C\x15m" 400 166 "-" "-"
¿Esto es un intento de pirateo?
¿Esto es un intento de pirateo?
Este es un análisis de investigación realizado por la Universidad de California en Berkeley :
Esta es una máquina de escaneo de investigación de la Universidad de California en Berkeley. Esta máquina realiza periódicamente escaneos de todo el Internet, por lo que es posible que haya sido escaneado como parte de un proyecto de investigación en curso.
El contacto principal para este proyecto es Bill Marczak (wrm at icsi dot berkeley dot edu) y el asesor del proyecto es Vern Paxson.
Si ha sido o está siendo escaneado actualmente y desea cancelar su participación, envíe un correo electrónico a wrm at icsi dot berkeley dot edu con los rangos de IP que desea excluir en formato CIDR.
Si ha recibido o está recibiendo solicitudes de DNS, se hace eco de ICMP o TCP SYN y desea cancelar su suscripción, envíe un correo electrónico a bjones99 at gatech dot edu con la Rangos de IP que desea excluir en formato CIDR.
Con respecto a su pregunta, suponiendo que la máquina de escaneo no esté comprometida, entonces no creo que sea un intento de pirateo. Probablemente sea solo una comprobación para ver si está siendo hackeado.
En muchos países, realizar escaneos que intentan hackear máquinas aleatorias es ilegal. Una universidad destacada y conocida no podría salirse con la suya de infringir la ley en una escala tan épica.
Usted puede optar por no participar en los escaneos si lo desea, o simplemente bloquear sus escáneres en su firewall. He enumerado las direcciones de escáner adicionales al final.
Es ciertamente posible que estén intentando evaluar si su máquina está infectada por una variedad particular de malware. Esto no es lo mismo que un intento de piratería. Existen razones legítimas de investigación para saber si una máquina está infectada por algún tipo de malware endémico o no.
Cuando lees un artículo en las noticias que indica cuántas computadoras en todo el mundo están infectadas por ciertos tipos de malware, ¿de dónde crees que obtienen los números? Escáneres como estos son una de las muchas formas diferentes de obtener esos datos.
A continuación hay una lista de otras direcciones que usan
169.229.3.90 - researchscan0.eecs.berkeley.edu
169.229.3.91 - researchscan1.eecs.berkeley.edu
169.229.3.92 - researchscan2.eecs.berkeley.edu
169.229.3.93 - researchscan3.eecs.berkeley.edu
169.229.3.94 - researchscan4.eecs.berkeley.edu
Me contacté con la gente a cargo, y esta es su respuesta:
Estamos realizando un estudio de medición de un fenómeno particular en Internet. Para evaluar con precisión el comportamiento, estamos realizando una exploración diaria del espacio IPv4 enviando un único paquete benigno a cada IP en el puerto 80 que consta de 64 bytes aleatorios de datos. [...] No, no estamos intentando obtener acceso no autorizado. [...] Simplemente se generan datos al azar que se ajustan a un determinado conjunto de criterios .
El artículo de Vern Paxson de 2015 se titula "Lensing temporal y su aplicación en ataques de denegación de servicio".
Resumen: introducimos lentes temporales : una técnica que concentra una inundación relativamente de ancho de banda bajo en un corto, alto pulso de ancho de banda . Al aprovechar la infraestructura DNS existente, exploramos experimentalmente la lente y las propiedades de la los pulsos que crea. También mostramos empíricamente cómo los atacantes pueden use el lente solo para lograr anchos de banda máximos más que una Orden de magnitud mayor que su ancho de banda de subida. Mientras formidable por sí mismo en un ataque DoS pulsante, los atacantes también pueden Combina lentes con amplificación para producir potencialmente pulsos. con picos de ancho de banda de magnitud mayor que el suyo
Haz de lo que quieras, su investigación está claramente en la parte ofensiva del espectro. Si alguien está lo suficientemente molesto, no dude en comunicarse con el Comité de Cumplimiento, Responsabilidad, Riesgo y Ética (CARE) de Berkeley en [email protected] o (a través de enlace )
Antony McKnight, Oficial de Cumplimiento
Oficina de Ética, Riesgo y Servicios de Cumplimiento
Oficina del Canciller
Tenga en cuenta que esta respuesta es una wiki comunitaria creada deliberadamente, ya que contiene información auxiliar que no puede incluirse en un comentario. Mark Buffalo fue el primero en descubrir la naturaleza del escaneo, y IMHO debería tener su respuesta upvoted & aceptado.
Actualización : sus patrocinadores son interesantes
enlace : NSF (CNS-1111672) | DHS / ARL (W911NF-05-C-0013)
enlace : NSF (1223717, 1518918, 1540066, 1518882)
enlace : NSF (1213157, 1111672, 1237265)
enlace : DHS (N66001-12-C-0128), NSF (CNS-1111672, CNS-1237265, CNS-1213157)
Por su aspecto, esta investigación está financiada por el DHS, así que no contenga la respiración mientras espera a Berkeley Compliance & Equipo de ética para patear.
La subvención actual en la que se encuentra parece ser "II-New: Habilitando el análisis de seguridad a escala"
Este proyecto proporcionará el equipo de computación a través de una subvención de infraestructura que permitirá una mayor capacidad de análisis de fenómenos sociales y económicos empíricos, mediado en el ciberespacio como, por ejemplo, redes sociales en línea masivas, contenido web malicioso y mercados cibernéticos de ciberdelito . Los sitios populares en línea como Facebook y Twitter conectan literalmente a miles de millones de personas; sin embargo, han surgido amenazas completamente nuevas para dichos sitios impulsadas por el delito cibernético. En ausencia de defensas efectivas, los ecosistemas sociales en línea de hoy sufren. El estudio empírico de estas amenazas y las estrategias de mitigación en la enorme infraestructura web actual requiere una infraestructura cibernética altamente escalable y capaz. Una mejor comprensión de estos complejos ecosistemas cibernéticos, posible gracias a esta donación de equipos, dará lugar a nuevas perspectivas para hacer que el ciberespacio sea más seguro.
Si me preguntas, este resumen huele completamente a BS. ¡Escaneando todo el Internet con paquetes diseñados! = Haciendo que el ciberespacio sea más seguro.
Lea otras preguntas en las etiquetas log-analysis