与随机 TOR 出口路由器的 ncat 会话

【问题标题】:ncat sessions with random TOR Exit Router与随机 TOR 出口路由器的 ncat 会话
【发布时间】:2021-08-15 22:40:12
【问题描述】:

我正在玩 netcat 一段时间。我试图创建一个从我的笔记本电脑到虚拟服务器的反向外壳。我输入的命令如下ncat -lkvnp 4444。 一段时间后,从不同的 IP 地址建立了几个连接,包括 185.220.101.147185.220.101.243(它们都是 Tor 出口路由器)和托管的 195.74.76.194通过 avast.com

我不太了解 TOR 网络或防病毒系统的工作原理。有人知道发生了什么吗?

这是一分钟前的输出:

Ncat: Version 7.70 ( https://nmap.org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from 95.211.190.199.
Ncat: Connection from 95.211.190.199:29248.

Windows PowerShell
Copyright (C) 2009 Microsoft Corporation. All rights reserved.




Ncat: Connection from 185.189.167.14.
Ncat: Connection from 185.189.167.14:52399.
�

我不知道这两个 IP 地址。

【问题讨论】:

  • @Carcigenicate 我的虚拟服务器和笔记本电脑都没有安装avast
  • Avast 还提供 VPN 服务,因此滥用者可能正在从 Avast VPN 执行网络扫描。同样,人们也使用 Tor 扫描网络。端口 4444 可能被 I2P 软件用作代理端口,这就是它可能成为扫描目标的原因。 Metasploit 也可以使用它来连接回来。因此,出于这些原因,主要是 I2P,它似乎是一个令人感兴趣的端口。

标签: tor netcat antivirus


【解决方案1】:

它可能只是由恶意软件控制的僵尸机器大军,正在寻找其他受害者。

运行旧 TOR 客户端的机器可能会被黑客入侵,因为已知漏洞可能被专家利用,或者只是使用 Metaexploit 编写脚本小子。

您的 IP 是 ASN(自治系统)的一部分。
他们针对该 IP 范围内的任何内容。
持续扫描响应已知端口的所有实时内容,例如 4444 或 22 (SSH)、3389 (RDP)、5900 (VNC) 等。

这就是为什么一个好的和简单的安全措施是将端口号更改为另一个随机的端口号,只有你知道。 尝试通过协议检查来猜测该端口是什么,既费时又会阻止恶意活动。

编辑: 受到 Avast 拥有的机器的攻击,似乎他们是故意用自己的软件搜索它。端口 4444 不是 TOR 协议(9050 或 9150)的一部分,而是 Msblast Worm 利用的已知 Windows 安全漏洞:

https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Virus%253aDOS%252f4444

【讨论】:

  • 其中一个 IP 地址由 avast.com 托管...如果安全公司拥有的机器被恶意软件控制,会不会有很大的安全问题?
  • 他们的目标是公司,警告他们安全问题。
猜你喜欢
  • 2018-10-12
  • 1970-01-01
  • 2023-03-12
  • 2018-02-10
  • 2015-11-04
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2017-12-03
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode