Ciao Noyse, Provo a raccontarti una mia esperienza, nell'istituto dove lavoro e` successa una cosa simile, ricevevamo molte richieste di questo tipo (sempre in get buone per inviare informazioni e meno sospette dei post), come a te non sufficienti per bloccare il portale ma per sicurezza le bloccai tramite nginx.
Il danno lo generarono dopo qualche mese: il nostro portale venne bannato da vari antivirus in quanto era inserito come destinatario di uno spyware. Ovviamente ho controllato ed il server non era stato bucato, ma ho dovuto sudare molte settimane per farlo rimuovere dalle varie liste nere. Il problema era ben lontano da sembrare un ddos, anche i dati inviati erano inutili. Penso che volessero proprio generare un danno abbassando la reputazione del server. My 2 cent Andrea ----- Messaggio originale ----- Da: "noyse" <[email protected]> A: [email protected] Inviato: Venerdì, 12 giugno 2020 12:40:05 Oggetto: Re: Incomprensibili richieste GET Ciao e grazie per le risposte, quello che non ho precisato nella mail precedente è che la mia macchina è una centos e la quantità get (non di post, ma di get, non mi sta inviando dati di una macchina, ma li sta chiedendo al limite) non è piccola si tratta di un flood discreto, sono circa 5 o 6 al secondo per indirizzo, che non mette in difficoltà il sistema ma è comunque una stranezza. > Mi ricorda il malware Andromeda da quel r6.php. avevo trovato qualcosa a riguardo di andromeda ma pensavo fosse una coincidenza piuttosto che un indizio Il 11/06/20 22:39, Andrea Draghetti ha scritto: > Ciao, > dal tipo di informazioni contenute nella richieste GET probabilmente è un > malware che sta inviando al C2 le informazioni del computer della vittima. > > Mi ricorda il malware Andromeda da quel r6.php. > > Potrebbe quindi essere che gli IP Italiani che tu rilevi siano computer di > vittime che stanno tendando di inviare al C2 le info della macchina e attendo > eventuali comandi da eseguire. > > Strano che contattino a contattare un tuo ip/dominio, forse è andato qualcosa > di storto nella distribuzione del malware o di un successivo update. > > Andrea > >> On 11 Jun 2020, at 22:19, noyse <[email protected]> wrote: >> >> Ciao a tutti, >> vi scrivo per chiedervi se avete idea o se anche voi avete notato delle >> continue richieste get con un contenuto incomprensibile [0] . Gli indirizzi >> ip di provenienza sono tutti italiani e appartengono a telecom. L'unica cosa >> che posso fare è aggiungere una regola di iptables e mettere l'indirizzo >> sorgente in DROP. Ne ho aggiunti già una decina da quando è cominciato il >> tutto attorno al 20 aprile e fino a 2 o 3 giorni fa non ho più avuto >> scocciature quando improvvisamente è ricominciato. Ho cercato qualche >> riscontro in rete ma non ho trovato nulla alche sono a chiedervi se voi >> avete idea di cosa sia. >> Grazie anticipo ogni hint è ben accetto. >> >> >> noyse_ >> >> [0] >> https://bin.privacytools.io/?e3790393eaf73b0e#qaBfFRP5T/hraHa409TVjHZ0AW1/W5EgMkNlxo7lh1Y= >> > >
