Fred'ô farias06

Je viens de bloquer une nouvelle IP : 178.158.18.89 ( Russes ) . La Russie est toujours en première ligne pour la désinformation.

Exemple d’un logs :

42.193.186.22 - - [29/Jul/2021:10:49:58 +0200] "f+bin.arm7%3b%23&remoteSubmit=Save" 400 0 "-" "-"
42.193.186.22 - - [29/Jul/2021:10:49:58 +0200] "POST /cgi-bin/ViewLog.asp HTTP/1.1" 302 0 "-" "MtmKilledYou"

J’ai donc fait :

# zgrep "arm7" /var/log/apache2/access.humhub.log.*gz | sed 's/:/ /g' | awk '{print $2}' | sort -n | uniq | awk '{print "iptables -A INPUT -s " $1 " -j DROP "}'
iptables -A INPUT -s 42.193.186.22 -j DROP 
iptables -A INPUT -s 189.72.251.188 -j DROP 
iptables -A INPUT -s 195.47.196.114 -j DROP

J’ai donc blacklisté trois IP de plus … quand on aime …

Je viens de lire l’article : https://www.bleepingcomputer.com/news/security/new-stealthy-linux-malware-used-to-backdoor-systems-for-years/

Command-and-control servers historically used by the malware have domains registered six years ago, in December 2015,  all of them

J’ai donc rapidement fait :

# sudo find / -name 'systemd-daemon'
# sudo find / -name 'gvfsd-helper'

Aucun n’est présent …

Via Skype je recois une url ver google, cette url renvoi vers un site xn–2–9lcqk.xn–p1ai (185.212.128.141 : Pays-Bas)  et de ce site vers http://income-method.net/ (Russie) et pour finir un virus remonte ….

Misère, merci la Russie pour cette merde ….

Propriété de income-method.net

Propriété de l’adresse IP 185.212.128.141

Voici mon iptable courante :

*filter
:INPUT ACCEPT [1617998378:2870557962726]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [342938945:308572427452]
-A INPUT -s 112.126.90.41/32 -j DROP 
-A INPUT -s 116.147.2.110/32 -j DROP 
-A INPUT -s 122.14.209.13/32 -j DROP 
-A INPUT -s 158.69.13.199/32 -j DROP 
-A INPUT -s 193.112.88.67/32 -j DROP 
-A INPUT -s 210.21.218.26/32 -j DROP
-A INPUT -s 223.75.249.2/32 -j DROP 
-A INPUT -s 27.50.160.35/32 -j DROP 
-A INPUT -s 49.233.63.234/32 -j DROP 
-A INPUT -s 91.242.37.16/32 -j DROP 
-A INPUT -s 103.87.167.253/32 -j DROP 
-A INPUT -s 113.160.229.252/32 -j DROP 
-A INPUT -s 123.201.235.83/32 -j DROP 
-A INPUT -s 156.221.147.68/32 -j DROP 
-A INPUT -s 171.236.213.49/32 -j DROP 
-A INPUT -s 176.240.226.165/32 -j DROP 
-A INPUT -s 202.90.133.210/32 -j DROP 
-A INPUT -s 216.104.201.88/32 -j DROP 
-A INPUT -s 175.172.174.191/32 -j DROP 
-A INPUT -s 123.132.65.176/32 -j DROP
-A INPUT -s 103.145.13.43/32 -j DROP 
-A INPUT -s 175.21.153.128/32 -j DROP 
-A INPUT -s 178.63.34.189/32 -j DROP 
-A INPUT -s 74.120.14.36/32 -j DROP 
-A INPUT -s 34.240.212.8/32 -j DROP 
-A INPUT -s 167.248.133.52/32 -j DROP 
-A INPUT -s 162.142.125.52/32 -j DROP 
-A INPUT -s 197.53.220.102/32 -j DROP 
-A INPUT -s 134.209.87.169/32 -j DROP 
-A INPUT -s 66.151.211.226/32 -j DROP 
-A INPUT -s 61.40.0.0/16 -j DROP
-A INPUT -s 66.210.251.136/32 -j DROP 
-A INPUT -s 202.215.160.75/32 -j DROP 
-A INPUT -s 81.68.159.121/32 -j DROP 
-A INPUT -s 178.129.246.3/32 -j DROP 
-A INPUT -s 46.209.56.107/32 -j DROP 
-A INPUT -s 156.197.215.223/32 -j DROP 
-A INPUT -s 156.216.50.199/32 -j DROP 
-A INPUT -s 192.241.224.104/32 -j DROP 
-A INPUT -s 192.241.206.242/32 -j DROP 
-A INPUT -s 216.245.193.22/32 -j DROP 
COMMIT

Cela fait suite aux articles :

France Soir n’est plus un journal, c’est une usine a clic pour les complotistes. Merci d’arreter de lire les articles ! Et merci d’arreter de les diffuser !

Merci de voir : https://www.newsguardtech.com/wp-content/uploads/2020/07/FranceSoir.fr_FrenchVersion-1.pdf

Le site de France-Soir, un ancien grand journal national qui a étérelancé en ligne en 2015, et qui a publié des allégations non fondéessur la pandémie de COVID-19.

Soyez vigilants : ce site web nerespecte pas plusieurs principesjournalistiques de base.

Avec Orange c’est l’enfer, impossible de monter une architecture stable … toujours des problèmes.

Normalement j’ai un NAT vers une IP locale, et ce NAT fait que j’utilise le certificat mis sur l’IP locale.

Quand je fais sur l’IP publique :

openssl s_client -showcerts -connect 80.15.48.50:443
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 C = FR, O = Orange, CN = Orange Devices Generic27 CA
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
verify return:1
---
Certificate chain
 0 s:C = FR, O = Orange, CN = CCD42E-Livebox Fibre-JA20086CN001383
   i:C = FR, O = Orange, CN = Orange Devices Generic27 CA

Au vue du nmap c’est la gateway qui a une mauvaise information :

Quelques noms :

• Groupe SPIE : https://www.zdnet.fr/actualites/le-groupe-spie-vise-par-un-ransomware-en-juillet-39907955.htm : Lundi 10 Août 2020
• Groupe Carnaval : https://www.usine-digitale.fr/article/le-croisieriste-carnival-victime-d-un-ransomware.N995069 : 18 août 2020
• Groupe GARMIN : https://www.usine-digitale.fr/article/garmin-aurait-debourse-plusieurs-millions-de-dollars-pour-mettre-fin-a-un-ransomware.N991824 : 04 août 2020
• Groupe Brown-Forman : https://www.lemondeinformatique.fr/actualites/lire-ransomware-la-maison-mere-de-jack-daniel-s-trinque-80052.html 17 Aout 2020
• Groupe Canon : https://www.lesnumeriques.com/photo/canon-victime-d-un-ransomware-les-pirates-mettent-la-main-sur-10-to-de-donnees-n153175.html :
• Groupe MMA : https://www.lemagit.fr/actualites/252486873/MMA-le-bras-de-fer-avec-le-ransomware-se-poursuit : 29 juil. 2020
• ….

Misère.

Il suffit d’aller sur le lien : https://amazon.com/gp/privacycentral/dsar/preview.html , ensuite il faut passer la double authentification.

Et selectionner le type de données que l’on désire : (le mieux est de demander “Request All Your Data”)

Puis attendre :

Patience …

Donc j’ajoute le blocage de cette IP : 194.60.254.242 .