You are here
Home > Skeniranje [SCAN]

Nacionalni CERT svakog ponedjeljka priprema tjedne izvještaje o zaraženim računalima ili poslužiteljima i dostavlja ih vlasnicima IP adresnog prostora u kojem je zabilježena neželjena aktivnost, tj. neovlašteno skeniranje trećih strana (“scanner”) i/ili neovlašteni pokušaji pristupa na druge servise (“brute-force”). Izvještaji se dostavljaju u “.zip” formatu, a unutar njega se nalazi “.csv” datoteka s nazivom vlasnika adresnog prostora.

Datoteka je podijeljena u deset stupaca, a opis svakog pojedinog stupca se nalazi u nastavku:

timestamp - datum, vrijeme i vremenska zona kada je aktivnost otkrivena
ip - IP adresa na kojoj je otkriven bot
timestamp - datum, vrijeme i vremenska zona kad je aktivnost otkrivena
ip - IP adresa registrirana kao izvor spama
timestamp - datum, vrijeme i vremenska zona zabilježene aktivnosti
source_ip - izvorišna IP adresa otkrivene aktivnosti
source_port - izvorišni port
source_hostname - hostname izvorišta dobiven putem reverznog DNS-a
destination_ip - odredišna IP adresa
destination_port - odredišni port
destination_hostname - hostname odredišta dobiven putem reverznog DNS-a
source_as_name - ime izvorišnog autonomnog sustava (AS)
source_asn - ASN izvorišta
classification_type - tip klasifikacije

Najvažniji je drugi stupac pod oznakom “IP” u kojem se nalazi IP adresa uređaja na kojem je zabilježena nedozvoljena aktivnost. Važno je napomenuti kako se radi o javnoj IP adresi koja se ne mora podudarati s adresom računala, ona obično posjeduju vlastitu privatnu IP adresu. Potrebno je obratiti pažnju na prvi stupac “timestamp”, koji predstavlja vrijeme kada je zaraženi uređaj vršio nedozvoljene aktivnosti.

Ako zaprimite ovakav tip izvještaja u najvećem broju slučajeva se radi o uređaju (računalu ili poslužitelju) koji je zaražen nekom vrstom zlonamjernog programa putem kojeg napadač vrši daljnje napade kao što su neovlašteno skeniranje trećih strana ili neovlašteni pokušaji pristupa na druge servise.

Top