Liste des IP qui essayent d’exploiter la faille « f+bin.arm7%3b%23&remoteSubmit=Save »

350 x served & 339 x viewed

Exemple d’un logs :

42.193.186.22 - - [29/Jul/2021:10:49:58 +0200] "f+bin.arm7%3b%23&remoteSubmit=Save" 400 0 "-" "-"
42.193.186.22 - - [29/Jul/2021:10:49:58 +0200] "POST /cgi-bin/ViewLog.asp HTTP/1.1" 302 0 "-" "MtmKilledYou"

J’ai donc fait :

# zgrep "arm7" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "iptables -A INPUT -s " $1 " -j DROP "}'
iptables -A INPUT -s 42.193.186.22 -j DROP 
iptables -A INPUT -s 189.72.251.188 -j DROP 
iptables -A INPUT -s 195.47.196.114 -j DROP

J’ai donc blacklisté trois IP de plus … quand on aime …

Misère.

42.193.186.22 -> Chine
189.72.251.188 -> Brésil
195.47.196.114 -> Russie.

Le trio gagnant …. pour changer.

Misère.

2 réflexions sur « Liste des IP qui essayent d’exploiter la faille « f+bin.arm7%3b%23&remoteSubmit=Save » »

  1. Update :
    106.13.90.51 – – [15/Oct/2021:15:00:57 +0200] « f+bin.arm7%3b%23&remoteSubmit=Save » 400 0 « – » « – »
    106.13.90.51 – – [14/Oct/2021:15:36:18 +0200] « f+bin.arm7%3b%23&remoteSubmit=Save » 400 0 « – » « – »
    87.96.130.53 – – [14/Oct/2021:22:44:00 +0200] « nName.arm7;rm+-rf+BinName.arm7%3b%23&remoteSubmit=Save » 400 0 « – » « -« 

  2. Bonjour,
    Un update :
    47.100.237.251 – – [17/Mar/2022:01:15:24 +0100] « ame.arm7;rm+-rf+BinName.arm7%3b%23&remoteSubmit=Save » 400 1143 « – » « – »
    47.94.198.192 – – [17/Mar/2022:04:20:04 +0100] « ame.arm7;rm+-rf+BinName.arm7%3b%23&remoteSubmit=Save » 400 1143 « – » « – »
    120.25.217.116 – – [17/Mar/2022:06:43:00 +0100] « ame.arm7;rm+-rf+BinName.arm7%3b%23&remoteSubmit=Save » 400 1143 « – » « – »
    60.29.123.188 – – [17/Mar/2022:06:51:59 +0100] « ame.arm7;rm+-rf+BinName.arm7%3b%23&remoteSubmit=Save » 400 1143 « – » « – »

    China pour les 4 @IP.

    J’utilise par ex :
    curl http://ip-api.com/json/60.29.123.188
    pour identifier
    Cordialement

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Time limit is exhausted. Please reload CAPTCHA.