Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
ET WORM TheMoon.linksys.router 1 – ложное срабатывание??, wifiman
 
#1
24.01.2025 23:21:00
Привет! Unifi Network 9.0.108 установлен. Я никогда не использовал роутер Linksys, ни разу. IPS блокирует это практически ежедневно. Я прогонял полные сканы с Norton и Malwarebytes. Все чисто. Есть какие-нибудь идеи, почему так происходит и, если это существует, запускается ли это при старте системы и под каким именем? Спасибо за предложения.
 
 
 
#2
26.01.2025 04:13:00
Да, ты правильно понимаешь... трафик выходит из твоего компьютера к шлюзу. Я не уверен, зачем это вообще нужно. Ты хочешь сказать, что Firefox как-то генерирует этот трафик? Wireshark, да.
 
 
 
#3
25.01.2025 01:32:00
Спасибо за помощь, но я не уверен, как это полностью разобрать. Если я что-то не понимаю, мой десктоп сообщает обратно на роутер на своём VLAN. Это имеет смысл, или я неправильно интерпретирую? Не уверен, валидно это или нет, но каждый раз, когда запускаю Firefox в строгом режиме, при выходе кэш очищается и временные файлы удаляются. Что бы вы посоветовали для мониторинга соединений, FireShark?
 
 
 
#4
25.01.2025 00:58:00
Правило..предупреждение http любой любой -> $HOME_NET 8080 (
 msg:"ET WORM TheMoon.linksys.router 1";
 flow:established;
 urilen:7;
 http.method;
 content:"GET";
 http.uri;
 content:"/HNAP1/";
 http.host; pcre:"/^(?:[0-9]{1,3}\.){3}[0-9]{1,3}$/";
 reference:url,isc.sans.edu/forums/diary/Linksys+Worm+Captured/17630;
 classtype:trojan-activity;
 sid:2018131;
 rev:6;
 metadata:created_at 2014_02_13, signature_severity Major, updated_at 2020_08_18;
)
Кажется, это правило ищет http-запросы к IP-адресу (а не к имени хоста), в URI которого есть "/HNAP1/". Отчет должен показывать IP клиента, пытающегося сделать запрос, и IP устройства, которое "атакуют". Ты сможешь использовать эту информацию, чтобы перехватить трафик и посмотреть, что происходит. Также можно мониторить соединения на клиенте, чтобы найти процесс, который делает эти запросы.
 
 
 
Страницы: 1
Читают тему (гостей: 1)