Archives par mot-clé : iptables

Faille de sécurité sur « \x03 » ou « \x16\x03\x01 » en HTTP ?!

Publié le par
1

J’ai pu observer des requetes de ce type :

45.146.166.156 - - [14/Oct/2021:11:42:23 +0200] "\x03" 400 0 "-" "-"
89.248.165.23 - - [13/Oct/2021:05:43:09 +0200] "\x03" 400 0 "-" "-"
45.141.87.54 - - [13/Oct/2021:18:52:16 +0200] "\x03" 400 0 "-" "-"

Dans le route je bloque donc les IP :

# iptables -A INPUT -s 45.146.166.156  -j DROP
# iptables -A INPUT -s 89.248.165.23  -j DROP
# iptables -A INPUT -s 45.141.87.54  -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

A suivre.

A noter, que quand c’est Russian Federation c’est pas pour mon bien … Misère :

IP Address Country Region City
45.141.87.54 Russian Federation Sankt-Peterburg Saint Petersburg
IP Address Country Region City
45.146.166.156 Russian Federation Moskva Moscow

Update, je pense qu’il y a plusieurs requetes :

# grep '\x03' /var/log/apache2/access.* | sed 's/:/ /g' | awk '{print $2 " " $10}' | sort -n | uniq -c
      1 45.141.87.54 "\x03"
      1 45.146.166.156 "\x03"
      1 89.248.165.23 "\x03"
      4 121.46.25.189 "\x16\x03\x01"
      1 183.136.225.42 "\x16\x03\x01\x02"
      3 185.193.88.50 "\x03"
      2 200.37.200.185 "\x16\x03\x01"

Pour les IP :

IP Address Country Region City
200.37.200.185 Peru Cusco Cusco
ISP Organization Latitude Longitude
Zotac Tacna Not Available -13.5183 -71.9781
IP Address Country Region City
183.136.225.42 China Zhejiang Jiaxing
ISP Organization Latitude Longitude
ChinaNet Zhejiang Province Network Not Available 30.7522 120.7500
IP Address Country Region City
121.46.25.189 China Guangdong Guangzhou
ISP Organization Latitude Longitude
Guangdong Aofei Data Technology Co. Ltd. Not Available 23.1167 113.2500

Faille de sécurité sur /actuator/health ?! ( Baeldung ?!)

Publié le par
Répondre

J’observe des scans sur /actuator/health  , par exemple :

192.241.204.32 - - [14/Oct/2021:09:25:02 +0200] "GET /actuator/health HTTP/1.1" 302 4947 "-" "Mozilla/5.0 zgrab/0.x"
192.241.198.123 - - [13/Oct/2021:09:23:33 +0200] "GET /actuator/health HTTP/1.1" 302 4947 "-" "Mozilla/5.0 zgrab/0.x"

Si je regarde les IP cela vient des US … donc je filtre :

# iptables -A INPUT -s 192.241.204.32 -j DROP
# iptables -A INPUT -s 192.241.198.123  -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

A suivre.

 

Faille de securité phpmyadminxxxx via des scans

Publié le par
Répondre

Voici un petit exemple de scan :

27.120.170.139 - - [13/Oct/2021:11:49:46 +0200] "GET /phpmyadmin2016/index.php?lang=en HTTP/1.1" 302 403 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36"

Il faut lire l’article : https://isc.sans.edu/forums/diary/Increase+of+phpMyAdmin+scans/22688/ .

J’ai donc bloqué l’IP :

# iptables -A INPUT -s 27.120.170.139 -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

A suivre.

Faille de securité D-Link : /config/getuser?index=0 (CVE-2020-25078)

Publié le par
Répondre

Liste des IP qui exploitent cette faille :

# grep "/config/getuser?index" /var/log/apache2/access.* | sed "s/:/ /g" | awk '{print $2}' | sort | uniq
185.239.242.117
198.12.85.84
209.141.56.212
209.141.62.18
# iptables -A INPUT -s 185.239.242.117 -j DROP
# iptables -A INPUT -s 198.12.85.84 -j DROP
# iptables -A INPUT -s 209.141.56.212 -j DROP
# iptables -A INPUT -s 209.141.62.185 -j DROP
# /usr/sbin/iptables-save > /etc/iptables/rules.v4

Pour plus d’information voir : https://nvd.nist.gov/vuln/detail/CVE-2020-25078 .

A suivre.