Attaque de l’IP 45.146.164.125 : HelloThinkCMF (Russie) => Blocage de l’IP sur tous les serveurs

65 x served & 9 x viewed

Encore une attaque de la Russie, il me faudrait bloquer toutes les IP des Russes ….

Type d’attaque :

GET /?XDEBUG_SESSION_START=phpstorm
GET /?a=fetch&content=<php>die(@md5(HelloThinkCMF))</php> HTTP/1.1
GET /index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1
GET /wp-content/plugins/wp-file-manager/readme.txt
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
GET /_ignition/execute-solution HTTP/1.1"
GET /solr/admin/info/system?wt=json HTTP/1.1
GET /console/ HTTP/1.1
POST /api/jsonws/invoke HTTP/1.1
GET /index.php?r=user%2Fauth%2Flogin HTTP/1.1

Quand je fais une recherche c’est pas la seule IP :

# zgrep "HelloThinkCMF" /var/log/apache2/access.humhub.log.*.gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq -c
     20 45.146.164.125
      2 45.146.164.131
      2 45.155.205.109
      4 45.155.205.181
      4 45.155.205.196
      1 123.58.4.233

Bilan :

iptables -A INPUT -s 45.146.164.125  -j DROP
iptables -A INPUT -s 45.146.164.131  -j DROP
iptables -A INPUT -s 45.155.205.109  -j DROP
iptables -A INPUT -s 45.155.205.181  -j DROP 
iptables -A INPUT -s 45.155.205.196  -j DROP
iptables -A INPUT -s 123.58.4.233  -j DROP 
iptables-save > /etc/iptables/rules.v4

Misère.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.