Ciao Andrea,
grazie mille per la risposta. Per me questo è completamente nuovo, non
mi sono mai trovato in questa situazione e sto cercando di fare del mio
meglio. La mia sensazione è che non sia nulla di buono ma non riuscivo a
capire a cosa potesse condurre un "attacco??" del genere...
Ora comincia ad avere senso!
Buona continuazione a tutti
n.
Il 13/06/20 15:27, andrea.rana...@isprambiente.it ha scritto:
Ciao Noyse,
Provo a raccontarti una mia esperienza, nell'istituto dove lavoro e` successa
una cosa simile, ricevevamo molte richieste di questo tipo (sempre in get buone
per inviare informazioni e meno sospette dei post), come a te non sufficienti
per bloccare il portale ma per sicurezza le bloccai tramite nginx.
Il danno lo generarono dopo qualche mese: il nostro portale venne bannato da
vari antivirus in quanto era inserito come destinatario di uno spyware.
Ovviamente ho controllato ed il server non era stato bucato, ma ho dovuto
sudare molte settimane per farlo rimuovere dalle varie liste nere.
Il problema era ben lontano da sembrare un ddos, anche i dati inviati erano
inutili. Penso che volessero proprio generare un danno abbassando la
reputazione del server.
My 2 cent
Andrea
----- Messaggio originale -----
Da: "noyse" <lapp...@autistici.org>
A: ml@sikurezza.org
Inviato: Venerdì, 12 giugno 2020 12:40:05
Oggetto: Re: Incomprensibili richieste GET
Ciao e grazie per le risposte,
quello che non ho precisato nella mail precedente è che la mia macchina
è una centos e la quantità get (non di post, ma di get, non mi sta
inviando dati di una macchina, ma li sta chiedendo al limite) non è
piccola si tratta di un flood discreto, sono circa 5 o 6 al secondo per
indirizzo, che non mette in difficoltà il sistema ma è comunque una
stranezza.
> Mi ricorda il malware Andromeda da quel r6.php.
avevo trovato qualcosa a riguardo di andromeda ma pensavo fosse una
coincidenza piuttosto che un indizio
Il 11/06/20 22:39, Andrea Draghetti ha scritto:
Ciao,
dal tipo di informazioni contenute nella richieste GET probabilmente è un
malware che sta inviando al C2 le informazioni del computer della vittima.
Mi ricorda il malware Andromeda da quel r6.php.
Potrebbe quindi essere che gli IP Italiani che tu rilevi siano computer di
vittime che stanno tendando di inviare al C2 le info della macchina e attendo
eventuali comandi da eseguire.
Strano che contattino a contattare un tuo ip/dominio, forse è andato qualcosa
di storto nella distribuzione del malware o di un successivo update.
Andrea
On 11 Jun 2020, at 22:19, noyse <lapp...@autistici.org> wrote:
Ciao a tutti,
vi scrivo per chiedervi se avete idea o se anche voi avete notato delle
continue richieste get con un contenuto incomprensibile [0] . Gli indirizzi ip
di provenienza sono tutti italiani e appartengono a telecom. L'unica cosa che
posso fare è aggiungere una regola di iptables e mettere l'indirizzo sorgente
in DROP. Ne ho aggiunti già una decina da quando è cominciato il tutto attorno
al 20 aprile e fino a 2 o 3 giorni fa non ho più avuto scocciature quando
improvvisamente è ricominciato. Ho cercato qualche riscontro in rete ma non ho
trovato nulla alche sono a chiedervi se voi avete idea di cosa sia.
Grazie anticipo ogni hint è ben accetto.
noyse_
[0]
https://bin.privacytools.io/?e3790393eaf73b0e#qaBfFRP5T/hraHa409TVjHZ0AW1/W5EgMkNlxo7lh1Y=
