cs:services:eventclass:attempt-exploit-http

Pokus o průnik přes HTTP/HTTPS

Stroj zasílá podezřelé požadavky na webové služby. Požadavky mohou být podezřelé z různých důvodů - tzn. zaznamenaný požadavek je:

  • pokus o zneužití konkrétní zranitelnosti webové služby nebo serveru (prostřednictvím HTTP),
  • pokus o přístup ke známým skriptům a jiným souborům, které by se daly zneužít,
  • pokus o přístup ke konfiguračním nebo jiným citlivým souborům,
  • pokus o nalezení otevřené proxy, kterou by bylo možné zneužít k útoku.

Takových požadavků stroj zaslal vyšší množství, nebo byl požadavek vyhodnocen jako závažný, a proto byl detekován. Jelikož se jedná o nelegitimní provoz, byl stroj s největší pravděpodobností napaden malwarem a je nyní kompromitován a zneužíván k neautorizovaným účelům. Bylo by vhodné stroj proskenovat antivirovým softwarem a odstranit následky nákazy, dále prohledat logy a najít další artefakty (např. zdroj nákazy) a prověřit, zda nedošlo k laterálnímu pohybu útočníka a zda není nakaženo více zařízení v síti.

Příklad antivirového skenu pro Windows (za využití Defenderu):

Start - Zabezpečení Windows (Windows Security) - Ochrana před viry a hrozbami (Virus & Threat Protection) - Možnosti kontroly (Scan Options) - Úplná kontrola (Full Scan) - Zkontrolovat hned (Scan Now)

Příklad antivirového skenu pro Linux (za využití open-source antiviru ClamAV):

ClamAV je dostupný jako balíček clamav na většině linuxových distribucí. Po instalaci je vhodné aktualizovat malwarové definice příkazem freshclam. Následně je možné skenovat příkazem clamscan <příznaky> <složka/soubor>. Pro oskenování celého systému lze zvolit příznak rekurze (-r), zobrazování pouze infikovaných souborů (-i) a počátek v rootu (/). Příkaz poté vypadá následovně: clamscan -r -i /. Výstupem skenu je seznam škodlivých souborů.

Last modified:: 05.04.2024 09:40