web-dev-qa-db-ja.com

Web攻撃:CCTV-DVRリモートコード実行(Node.js-スウェーデン語string.js URL)

次のコマンドを使用して、しばらくの間、プロジェクトでnode.jsを使用して live-server package を実行しています:

_node node_modules/live-server/live-server.js . --ignore=\"css/sass\" --open=./ --cors
_

デフォルトの_http://127.0.0.1:8080/_アドレスを使用します。私が使用しているラップトップには "Norton Security"がインストールされており、今日、プロジェクトのファイルに変更を加えることなく、プログラムはhigh severityアラートをポップアップしました。以下:

  • 名前:Web攻撃:CCTV-DVRリモートコード実行
  • 実行されたアクション:アクションは不要です
  • 攻撃者のコンピュータ:192.168.1.84、50473
  • 攻撃者のURL:192.168.1.7:8080/language/Swedish${IFS}&&ping$IFS-c1$IFS-s41${IFS}192.168.1.84>/dev/null&&tar${IFS}/string.js "MY_PC_NAME (192.168.1.7 8080)
  • 宛先アドレス:MY_PC_NAME(192.168.1.7)
  • 起点アドレス:192.168.1.84
  • トラフィックの説明:TCP、ポート50473
  • 起源:_\DEVICE\HARDDISKVOLUME3\PROGRAM FILES\NODEJS\NODE.EXE_
  • 注:攻撃は既知の攻撃のシグネチャと一致します。

私はwi-fi(WPA2-Personal)を使用しており、_nslookup 192.168.1.84_を実行したところ、これが接続しているネットワーク内のPCの1つであることを確認しました。私はスウェーデンではありませんが、ここはさまざまな外国人がネットワークを利用する場所であり、攻撃者のコンピューター名からも、その人はスウェーデン人ではない可能性が高いことがわかります。

私はこの人とこの種の攻撃が何をしようとしているのか知りません。インストールしたノートンセキュリティプログラムの試用期間は4日で終了し、その後はデフォルトのWindows Defender(Windows 10)を使用する予定でした。ワイヤレスを切断する必要のない、続行する方法についての提案はありますか?

2
CPHPython

デフォルトの http://127.0.0.1:8080/ アドレスを使用します。

127.0.0.1はlocalhostであり、外部から到達できません。実際にこのアドレスにのみバインドする場合、攻撃者は別のコンピューターからこのサーバーに接続することはできませんが、コンピューター自体からの接続のみが可能です。

しかし、あなたが使用しているソフトウェアはあなたが主張するように127.0.0.1のデフォルトアドレスを使用していません。引用するには ドキュメントから

--port = NUM​​BER-使用するポートを選択します。デフォルト:PORT env varまたは8080
-Host = ADDRESS-バインドするホストアドレスを選択します。デフォルト:IP env varまたは0.0.0.0( "any address")

したがって、デフォルトでは127.0.0.1ではなく0.0.0.0にバインドされます。つまり、サーバーにはデフォルトで自分のコンピューターの外部からもアクセスできます。これを修正するには

  • セットする --Host=127.0.0.1サーバー起動時。これにより、サーバーはローカルマシンからのみアクセス可能になります。
  • また、外部から到達できないはずの別のサービスが実行されている場合に備えて、マシンでファイアウォールを有効にしてください。
3
Steffen Ullrich

Steffen Ullrichが参考になりましたlive-serverパラメータを--Host=127.0.0.1パラメータで制限し、ローカルIPアドレスへのデプロイのみを許可しました(他のアドレスにデプロイされる可能性を制限しました) )。

ノートンセキュリティにはほぼ永続的なアクティブファイアウォールがありますが、それでもいくつかの調整手順を実行しました。

  • 接続している特定のネットワークの信頼性をPublicからRestrictedに変更しました。他のネットワークデバイスからのPC。
  • 「信頼できる」デバイスのリストに攻撃者のIPアドレスを追加し、そのアクセスを制限付きに設定しました。最後のステップですべての通信が阻止され、ネットワークのIPが将来変更される可能性があるため、これは冗長になる可能性があることを認識しています。今のところ、それは主にロギング目的です。

Nortonの試用期間が4日で終了したので、同様の操作が Windows Firewall Advanced Security 受信ルールを介して実行できることがわかりました。

  1. 「新しいルール...」を追加します。
  2. Customオプションを選択します。
  3. Programタブで、「すべてのプログラム」を選択します。
  4. Protocol and PortsタブのAnyProtocol typeフィールドで選択します(これは自動的にすべてのポート、ローカルおよびリモートを考慮します);
  5. Scopeタブで、ローカルフィールドにAny IP addressを選択します(リモート受信接続が必要な場合は、リモートアクセスでIPアドレス範囲を定義できます);
  6. Actionタブで、Block the connection;
  7. Profileタブで、このルールがWi-Fiネットワークが属しているグループに適用されていることを確認してください(またはそれらすべてを選択したままにします:DomainPrivatePublic);
  8. ブロックするIPアドレスの範囲を変更する必要がある場合に備えて、後で覚えられるように、ルールに明らかなNameを指定します。 「CUSTOM:BLOCK ALL INBOUND(private network)」

これは問題を解決するもう1つの方法であり、ノートンが裏で行うことを実行しているようです。

しかし、私はこのタイプの攻撃についてもっと知りたいと思っています。私がnode.jsを使って開発しているのでなければ、おそらく質問と回答を書いていないでしょう。したがって、攻撃が何をしようとするのかについての説明があれば感謝します。

1
CPHPython