Ciao e grazie per le risposte,
quello che non ho precisato nella mail precedente è che la mia macchina
è una centos e la quantità get (non di post, ma di get, non mi sta
inviando dati di una macchina, ma li sta chiedendo al limite) non è
piccola si tratta di un flood discreto, sono circa 5 o 6 al secondo per
indirizzo, che non mette in difficoltà il sistema ma è comunque una
stranezza.
> Mi ricorda il malware Andromeda da quel r6.php.
avevo trovato qualcosa a riguardo di andromeda ma pensavo fosse una
coincidenza piuttosto che un indizio
Il 11/06/20 22:39, Andrea Draghetti ha scritto:
Ciao,
dal tipo di informazioni contenute nella richieste GET probabilmente è un
malware che sta inviando al C2 le informazioni del computer della vittima.
Mi ricorda il malware Andromeda da quel r6.php.
Potrebbe quindi essere che gli IP Italiani che tu rilevi siano computer di
vittime che stanno tendando di inviare al C2 le info della macchina e attendo
eventuali comandi da eseguire.
Strano che contattino a contattare un tuo ip/dominio, forse è andato qualcosa
di storto nella distribuzione del malware o di un successivo update.
Andrea
On 11 Jun 2020, at 22:19, noyse <[email protected]> wrote:
Ciao a tutti,
vi scrivo per chiedervi se avete idea o se anche voi avete notato delle
continue richieste get con un contenuto incomprensibile [0] . Gli indirizzi ip
di provenienza sono tutti italiani e appartengono a telecom. L'unica cosa che
posso fare è aggiungere una regola di iptables e mettere l'indirizzo sorgente
in DROP. Ne ho aggiunti già una decina da quando è cominciato il tutto attorno
al 20 aprile e fino a 2 o 3 giorni fa non ho più avuto scocciature quando
improvvisamente è ricominciato. Ho cercato qualche riscontro in rete ma non ho
trovato nulla alche sono a chiedervi se voi avete idea di cosa sia.
Grazie anticipo ogni hint è ben accetto.
noyse_
[0]
https://bin.privacytools.io/?e3790393eaf73b0e#qaBfFRP5T/hraHa409TVjHZ0AW1/W5EgMkNlxo7lh1Y=
