Ciao, dal tipo di informazioni contenute nella richieste GET probabilmente è un malware che sta inviando al C2 le informazioni del computer della vittima.
Mi ricorda il malware Andromeda da quel r6.php. Potrebbe quindi essere che gli IP Italiani che tu rilevi siano computer di vittime che stanno tendando di inviare al C2 le info della macchina e attendo eventuali comandi da eseguire. Strano che contattino a contattare un tuo ip/dominio, forse è andato qualcosa di storto nella distribuzione del malware o di un successivo update. Andrea > On 11 Jun 2020, at 22:19, noyse <[email protected]> wrote: > > Ciao a tutti, > vi scrivo per chiedervi se avete idea o se anche voi avete notato delle > continue richieste get con un contenuto incomprensibile [0] . Gli indirizzi > ip di provenienza sono tutti italiani e appartengono a telecom. L'unica cosa > che posso fare è aggiungere una regola di iptables e mettere l'indirizzo > sorgente in DROP. Ne ho aggiunti già una decina da quando è cominciato il > tutto attorno al 20 aprile e fino a 2 o 3 giorni fa non ho più avuto > scocciature quando improvvisamente è ricominciato. Ho cercato qualche > riscontro in rete ma non ho trovato nulla alche sono a chiedervi se voi avete > idea di cosa sia. > Grazie anticipo ogni hint è ben accetto. > > > noyse_ > > [0] > https://bin.privacytools.io/?e3790393eaf73b0e#qaBfFRP5T/hraHa409TVjHZ0AW1/W5EgMkNlxo7lh1Y= >
