Conexiones aleatorias a meterpreter revertir tcp oyente

Navega tus respuestas
0

Actualmente estoy aprendiendo algunas pruebas básicas de penetración usando Metasploit. He configurado una carga útil inversa de tcp meterpreter que ejecuto en una instancia de Windows de Amazon EC2. A veces, mientras muevo una nueva carga útil a la máquina, el oyente que he configurado en Metasploit se conectará y enviará exitosamente una carga útil, lo que resultará en una sesión abierta de medidor de contador en la computadora de alguien. Ha sucedido dos veces hasta ahora con conexiones de India y Rusia. Las sesiones se cierran automáticamente después de 30-60 segundos (Motivo: Fallecido).

Me di cuenta de que se producirían conexiones aleatorias debido a las exploraciones de puertos y otras cosas, pero estas conexiones realmente se han descargado y ejecutado meterpreter.

1) ¿Por qué sucede esto? 2a) ¿Hay alguna forma de usar Metasploit para evitar esto? (No quiero ser criticado por "piratear" a un tipo en Rusia) 2b) Si no, ¿es iptables el mejor método?

Lo siento si estas son preguntas básicas! Gracias!

    
pregunta zen 06.05.2013 - 18:21
fuente

4 respuestas

1

Hace algunos años me encontré con esto mientras le mostraba a un compañero de trabajo cómo usar SET.

Básicamente, tiene su oyente abierto y lo verán en las exploraciones de puertos. También estaba viendo el código de shell siendo enviado a la consola, lo que era muy gracioso. Básicamente, lo que tienes es un ghetto honeypot.

    
respondido por el g3k 06.05.2013 - 20:53
fuente
0

¿Quizás podrías cambiar el puerto que estás escuchando a algo más oscuro? Creo que probablemente estarás a salvo legalmente, ya que no estás pirateando a nadie, básicamente te están pirateando (¿y robando una carga maliciosa?), Pero creo que es un fenómeno bastante divertido. Buena suerte, sé que estaría tentado de hurgar un poco en la computadora del intruso.

    
respondido por el BSpiros 06.05.2013 - 18:47
fuente
0

Esto no suena como un problema de configuración Metasploit, sino un problema de activos malintencionados inadvertidos. Para mí, parece que tienes un activo (sitio web?) Que explota activamente las computadoras que se conectan a él, que a su vez se conectan a tu oyente Metasploit.

Para solucionarlo, deberá configurar el firewall en su activo (¿servidor web?) para permitir que sus computadoras solo se conecten a él. De lo contrario, me temo que está haciendo algo que se considera ilegal en muchas jurisdicciones ...

    
respondido por el schroeder 07.05.2013 - 00:43
fuente
-1

debe tener algo de este formato como su controlador en su msfconsole: 

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.43.204
set LPORT 8899
set ExitOnSession false
exploit -j
    
respondido por el snusi yusuf 27.10.2016 - 17:47
fuente

Lea otras preguntas en las etiquetas

¿A quién asignar derechos de acceso de lectura / escritura para que una aplicación de un solo usuario se ejecute correctamente? Determine la identidad del llamante