Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
cs:services:eventclass:attempt-exploit-http [23.03.2020 23:53] vachek_cesnet.czcs:services:eventclass:attempt-exploit-http [05.04.2024 07:40] (aktuální) – Rozšíření popisu eventclass. Pavla Hlučková
Řádek 1: Řádek 1:
 ====== Pokus o průnik přes HTTP/HTTPS ====== ====== Pokus o průnik přes HTTP/HTTPS ======
  
-Stroj se pokusil o **průnik na webovou službu** na honeypotuTo naznačuje, žje zkompromitován a zneužíván k neautorizovaným účelům. Je třeba ho prověřit vhodným antivirem odstranit něm následky hackerského útoku.+Stroj zasílá **podezřelé požadavky na webové služby**. Požadavky mohou být podezřelé z různých důvodů - tzn. zaznamenaný požadavek je: 
 + 
 +  * pokus o zneužití konkrétní zranitelnosti webové služby nebo serveru (prostřednictvím HTTP), 
 +  * pokus o přístup ke známým skriptům a jiným souborům, které by se daly zneužít, 
 +  * pokus o přístup ke konfiguračním nebo jiným citlivým souborům, 
 +  * pokus o nalezení otevřené proxy, kterou by bylo možné zneužít k útoku. 
 + 
 +Takových požadavků stroj zaslal vyšší množství, nebo byl požadavek vyhodnocen jako závažný, a proto byl detekován. Jelikož se jedná o nelegitimní provoz, byl stroj s největší pravděpodobností napaden malwarem a je nyní kompromitován a zneužíván k neautorizovaným účelům. Bylo by vhodné stroj proskenovat antivirovým softwarem a odstranit následky nákazy, dále prohledat logy a najít další artefakty (např. zdroj nákazy) a prověřit, zda nedošlo k laterálnímu pohybu útočníka zda není nakaženo více zařízení v síti. 
 + 
 +__Příklad antivirového skenu pro Windows (za využití Defenderu):__ 
 + 
 +Start - Zabezpečení Windows (Windows Security) - Ochrana před viry a hrozbami (Virus & Threat Protection) - Možnosti kontroly (Scan Options) - Úplná kontrola (Full Scan) - Zkontrolovat hned (Scan Now) 
 + 
 +__Příklad antivirového skenu pro Linux (za využití open-source antiviru ClamAV):__ 
 + 
 +ClamAV je dostupný jako balíček ''clamav'' na tšině linuxových distribucí. Po instalaci je vhodné aktualizovat malwarové definice příkazem ''freshclam''. Následně je možné skenovat příkazem ''clamscan <příznaky> <složka/soubor>''. Pro oskenování celého systému lze zvolit příznak rekurze (''-r''), zobrazování pouze infikovaných souborů (''-i'') a počátek v rootu (''/''). Příkaz poté vypadá následovně: ''clamscan -r -i /''. Výstupem skenu je seznam škodlivých souborů.