Auf dieser Seite haben wir, mit freundlicher Genehmigung, Security-Alarme eines Kunden zusammengestellt, dessen Kleinbetrieb
an einem Anschluss von 1und1 betrieben wird.
Das interne Netz ist in verschiedene Segmente aufgeteilt. Hier gibt es ein privilegiertes Netz, welches die Geschäftsleitung nutzt.
Für die Angestellten gibt es ein unprivilegiertes Netz, welches zwar Zugriff ins Internet hat. Zugriff auf die Personaldatenbanken etc.
sind den Angestellten jedoch verwehrt.
Es gibt noch einige weitere Segmente, darunter ein Server-Segment für die Unternehmensdaten und eine DMZ für den Webshop.
Rechts sehen wir eine aktuelle Grafik aus dem Report, welchen wir dem Kunden im wöchentlichen Intervall zusenden.
25403 null 458 ET SCAN Suspicious inbound to Oracle SQL port 1521 419 ET COMPROMISED Known Compromised or Hostile Host Traffic 407 ET POLICY HTTP traffic on port 443 (CONNECT) 361 ET TOR Known Tor Relay/Router (Not Exit) Node Traffic 313 ET SCAN Potential SSH Scan 270 ET SCAN MS Terminal Server Traffic on Non-standard Port 185 ET SCAN Zmap User-Agent (Inbound) 124 ET TOR Known Tor Exit Node Traffic 87 ET POLICY DNS Query for TOR Hidden Domain .onion Accessible Via TOR 44 GPL POLICY PCAnywhere server response 43 ET SCAN HID VertX and Edge door controllers discover 36 ET SCAN Laravel Debug Mode Information Disclosure Probe Inbound 31 ET EXPLOIT MVPower DVR Shell UCE 22 ET EXPLOIT Apache HTTP Server 2.4.49 - Path Traversal Attempt (CVE-2021-41773) M2 19 ET HUNTING Suspicious Chmod Usage in URI (Inbound) 18 ET POLICY External Oracle T3 Requests Inbound 18 ET EXPLOIT Realtek SDK - Command Execution/Backdoor Access Inbound (CVE-2021-35394) 17 ET SCAN Mirai Variant User-Agent (Inbound) 15 ET SCAN NETWORK Incoming Masscan detected 14 ET SCAN JAWS Webserver Unauthenticated Shell Command Execution 13 ET EXPLOIT HackingTrio UA (Hello, World) 13 ET EXPLOIT Apache HTTP Server - Path Traversal Attempt (CVE-2021-42013) M2 8 ET EXPLOIT Netgear DGN Remote Command Execution 5 ET POLICY External IP Lookup Domain (ipapi .co in DNS lookup) 5 ET HUNTING Suspicious PHP Code in HTTP POST (Inbound) 4 ET SCAN Internal Dummy Connection User-Agent Inbound 4 ET POLICY PE EXE or DLL Windows file download HTTP 4 ET POLICY DNS Query to DynDNS Domain *.ddns .net 4 ET HUNTING Observed DNS Query for OpenNIC Alternative DNS TLD (.null) 4 ET EXPLOIT D-Link Devices Home Network Administration Protocol Command Execution 3 ET HUNTING Observed Let's Encrypt Certificate for Suspicious TLD (.xyz) 3 ET EXPLOIT Hikvision IP Camera RCE Attempt (CVE-2021-36260) 3 ET EXPLOIT Apache HTTP Server 2.4.49 - Path Traversal Attempt (CVE-2021-41773) M1 2 ET SCAN Sipvicious Scan 2 ET SCAN SFTP/FTP Password Exposure via sftp-config.json 2 ET SCAN Potential SSH Scan OUTBOUND 2 ET POLICY possible Xiaomi phone data leakage DNS 2 ET POLICY HTTP traffic on port 443 (POST) 2 ET EXPLOIT Zimbra <8.8.11 - XML External Entity Injection/SSRF Attempt (CVE-2019-9621) 2 ET EXPLOIT Possible Zimbra Autodiscover Servlet XXE (CVE-2019-9670) 2 ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Inbound) 1 ET SCAN Yandex Webcrawler User-Agent (YandexBot) 1 ET SCAN Sipvicious User-Agent Detected (friendly-scanner) 1 ET SCAN LeakIX Inbound User-Agent 1 ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (CVE-2021-44228) 1 ET EXPLOIT Linux/Attempted Hosts File Exfil 1 ET EXPLOIT file_put_contents php base64 encoded Remote Code Execution 1
2 ET SCAN Sipvicious Scan 1 ET SCAN Sipvicious User-Agent Detected (friendly-scanner)