Attacco a rotazione IP in cerca di bug

[Sam9999]

Vi capita di vedere nei log che dalla Cina o dalla Russia avvivino centinaia di richieste di accesso alla ricerca di bug su phpmyadmin o su wordpress?
La caratteristica è che fanno una rotazione IP e UA (sistema operativo e browser uato) ad ogni richiesta.
Degli esempi:

Codice: Seleziona tutto

Date	IP	CMD	URL	Code	Size	Referer	UA	User	μs
00:28:38	120.32.64.172	GET	/	200	14KB		Android 6.0 | Chrome 55.0.2883.87		
00:27:01	175.17.197.176	GET	/	200	14KB		iOS 9.1 | Mobile Safari 9.0		
00:25:34	112.66.69.184	GET	/	200	12KB		Android 6.0 | Chrome 55.0.2883.87		
00:24:15	219.156.118.186	GET	/	200	12KB		Windows 10 | Chrome 45.0.2454.101		
00:23:23	182.138.214.60	GET	/ogPipe.aspx?name=http://www.ntdtv.com/	404	13KB		Windows 7 | Chrome 55.0.2883.87		
00:23:15	118.81.86.20	GET	/ogPipe.aspx?name=http://www.ntdtv.com/	404	13KB		Windows 7 | Chrome 55.0.2883.87		
00:23:04	14.204.89.209	GET	/ogPipe.aspx?name=http://www.ntdtv.com/	404	13KB		Windows 7 | Chrome 55.0.2883.87		
00:22:44	112.66.97.175	GET	/ogPipe.aspx?name=http://www.wujieliulan.com/	404	13KB		Android 4.3 | Android Browser 4.0		
00:22:41	112.66.98.42	GET	/ogPipe.aspx?name=http://www.wujieliulan.com/	404	13KB		Android 4.3 | Android Browser 4.0		
00:22:38	114.221.126.224	GET	/ogPipe.aspx?name=http://www.wujieliulan.com/	404	13KB		Android 4.3 | Android Browser 4.0		
00:22:36	124.89.89.154	GET	/ogPipe.aspx?name=http://www.epochtimes.com/	404	13KB		Windows 10 | Chrome 45.0.2454.101		
00:22:34	101.24.126.106	GET	/ogPipe.aspx?name=http://www.epochtimes.com/	404	13KB		Windows 10 | Chrome 45.0.2454.101		
00:22:26	114.221.126.35	GET	/	200	14KB		Windows 7 | Firefox 45.0		
00:22:25	121.57.12.45	GET	/ogPipe.aspx?name=http://www.epochtimes.com/	404	13KB		Windows 10 | Chrome 45.0.2454.101		
00:21:57	124.235.138.148	GET	/	200	14KB		Windows 10 | Chrome 45.0.2454.101		
00:21:57	171.12.10.144	GET	/	200	12KB		Windows 7 | Chrome 55.0.2883.87		
00:21:55	1.202.72.29	GET	/	301	2KB		Windows 10 | Chrome 45.0.2454.101		
00:21:52	123.179.15.124	GET	/ogPipe.aspx?name=http://www.dongtaiwang.com/	404	13KB		Android 6.0 | Chrome 55.0.2883.87		
00:21:43	110.177.78.161	GET	/	200	12KB		Windows 10 | Chrome 45.0.2454.101		
00:21:41	223.167.245.104	GET	/ogPipe.aspx?name=http://www.ntdtv.com/	404	12KB		iOS 9.1 | Mobile Safari 9.0		
00:21:41	114.221.125.220	GET	/	301	434B		Windows 10 | Chrome 
17:54:32	183.240.92.143	POST	/wp-content/plugins/dzs-portfolio/upload.php	404	12KB		iOS 7.2.1 | Mobile Safari 3.0.5		
17:52:07	96.9.90.58	GET	/wp-content/plugins/cherry-plugin/admin/import-export/k1bnp.php	404	12KB		Mac OS 10.8.2 rv | Safari 5.0		
17:51:45	95.182.108.179	GET	/wp-admin/plugin-editor.php?file=userpro%2Ffunctions%2F_trial.php&plugin=userpro%2Findex.php	302	509B		Mac OS 10.5.8 | Chrome 40.0.838.0		
17:51:45	180.97.106.141	GET	/wp-content/uploads/catalog_enquiry/7C1Tw.php	404	11KB		Windows 98 | IE 9.0		
17:51:37	95.37.240.135	GET	/wp-content/plugins/cardoza-facebook-like-box/custom-css/xo.php	404	12KB		iOS 7.0.2 | Mobile Safari 3.0.5		
17:49:56	41.139.161.42	POST	/wp-content/plugins/simple-ads-manager/sam-ajax-admin.php	404	12KB		Mac OS 10.7.0 | Chrome 36.0.879.0		
17:49:30	91.191.63.162	POST	/wp-admin/admin-ajax.php	400	470B		Linux i686 | Opera 12.00		
17:49:14	54.84.246.201	POST	/wp-admin/admin-ajax.php	400	470B		Windows 98 | Chrome 40.0.894.0		
17:49:04	2001:41d0:2:bb5c::	POST	/wp-content/plugins/dzs-videogallery/upload.php	404	11KB		Windows NT 4.0 | IE 9.0		
17:49:04	98.124.121.102	POST	/wp-admin/admin-ajax.php?action=load_ajax_function	400	470B		Mac OS 10.6.8 rv | Safari 4.0.1		
17:49:03	180.183.198.212	POST	/wp-content/plugins/simple-dropbox-upload-form/dragup/	404	12KB		Windows 2000 | Opera 11.00		
17:48:54	1.199.195.185	GET	/	301	434B		Linux i686 | Opera 10.00		
17:48:50	62.176.20.90	POST	/wp-content/plugins/real3d-flipbook/includes/process.php	404	12KB		Linux i686 | Opera 10.00		
17:48:47	86.121.46.87	POST	/wp-admin/admin-ajax.php?action=load_ajax_function	400	470B		Mac OS 10.6.8 rv | Safari 4.0.1		
17:48:41	1.65.218.170	POST	/wp-admin/admin-ajax.php	400	470B		Windows Vista | Opera 12.00		
17:48:30	187.110.91.154	POST	/wp-admin/admin-ajax.php	400	470B		Windows 98 | Opera 12.00		
17:48:28	38.121.61.75	POST	/wp-content/plugins/php-event-calendar/server/file-uploader/	404	12KB		Windows 8 | Chrome 37.0.810.0		
17:48:27	39.137.37.12	POST	/wp-content/plugins/wp-property/third-party/uploadify/uploadify.php	404	12KB		Mac OS 10.8.1 | Chrome 36.0.823.0		
17:48:26	194.95.64.252	POST	/wp-admin/admin-ajax.php	400	470B		Windows 98 | Opera 12.00		
17:48:21	125.166.232.198	POST	/wp-content/plugins/mailpress/mp-includes/action.php	404	12KB		Mac OS 10.5.9 rv | Safari 4.0.5		
17:48:20	14.207.35.37	POST	/wp-admin/admin-post.php?page=wysija_campaigns&action=themes	200	440B		Linux x86_64 | Firefox 36.0		
17:48:18	31.170.170.41	POST	/wp-content/plugins/mm-forms-community/includes/doajaxfileupload.php	404	12KB		Mac OS 10.5.9 rv | Safari 4.0		
17:48:16	186.47.102.166	POST	/wp-content/plugins/wpstorecart/php/upload.php	404	12KB		Linux i686 | Firefox 37.0		
17:48:13	211.147.67.150	POST	/wp-content/plugins/gallery-slider/register.php	404	12KB		Mac OS 10.6.7 rv | Firefox 36.0		
17:48:14	93.113.243.149	POST	/wp-content/plugins/dzs-portfolio/admin/upload.php	404	12KB		Linux x86_64 | Firefox 37.0		
17:48:13	109.207.94.244	POST	/wp-content/plugins/dzs-portfolio/upload.php	404	12KB		Linux x86_64 | Firefox 37.0		
17:48:10	117.102.123.130	POST	/wp-content/plugins/gallery-plugin/upload/php.php	404	12KB		Linux x86_64 | Opera 11.00		
17:48:06	174.64.234.19	POST	/wp-content/plugins/wp-handy-lightbox/begin.php	404	12KB		Linux x86_64 | Chrome 37.0.885.0		
17:48:06	202.43.160.142	POST	/wp-content/plugins/wp-symposium/server/php/index.php	404	12KB		Mac OS 10.6.7 | Chrome 37.0.817.0		
17:48:04	2a02:c207:2014:1502::1	POST	/wp-content/plugins/cardoza-facebook-like-box/cardoza_facebook_like_box.php	404	12KB		Windows NT 4.0 | Opera 10.00		
17:48:01	89.22.52.3	POST	/wp-admin/post.php?task=wpdm_upload_files	302	399B		Windows CE | IE 7.0		
17:48:01	119.28.176.65	POST	/wp-admin/admin-ajax.php?action=load_ajax_function	400	470B		Mac OS 10.6.8 rv | Safari 4.0.1		
17:47:57	195.128.51.182	POST	/wp-content/plugins/uploader/uploadify/uploadify.php	404	12KB		Mac OS 10.5.2 rv | Firefox 37.0		
17:47:51	62.33.245.137	POST	/wp-content/plugins/codecanyon-157782-video-gallery-wordpress-plugin-w-youtube-vimeo-/admin/upload.php	404	12KB		Mac OS 10.7.6 | Chrome 37.0.880.0		
17:47:46	2601:cb:4001:a910::2	POST	/wp-content/plugins/font-uploader/font-upload.php	404	12KB		Windows 7 | Safari 4.0		
17:47:43	1.59.69.8	POST	//wp-content/plugins/page-google-maps/pr.php	404	12KB		Windows XP | IE 7.0		
17:47:35	115.159.235.62	POST	/wp-admin/admin-post.php	200	440B		Mac OS 10.6.2 rv | Safari 5.0.4		
17:47:35	39.134.108.92	POST	/wp-admin/admin-ajax.php?param=upload_slide&action=upload_library	400	470B		Linux x86_64 | Firefox 36.0		
17:47:36	119.115.2.50	POST	/wp-content/plugins/gallery-slider/register.php	404	12KB		Mac OS 10.6.7 rv | Firefox 36.0		
17:47:35	120.76.77.152	POST	/wp-content/plugins/wp-property/third-party/uploadify/uploadify.php	404	12KB		Mac OS 10.8.1 | Chrome 36.0.823.0	

Anche sulla root, ma qui non ruotano ip, sempre a cercare qualcosa....

Codice: Seleziona tutto

 08:24:12	115.231.219.12	AH01618: user manager not found: /manager/html

Certo che cerco di tenere sempre aggiornati sia i siti che il sistema operativo..

[TommyB1992]

Mi sembra ovvio che se il tuo sito è indicazzato venga anche scannerizzato con tools appositi...

[Sam9999]

Un conto è SCANSIONARE e un conto è cercare BUG per accedere al sito o hackerarlo...
Nel senso che provano se il sito è aperto a BUG loro noti per ovviamente fare problemi al sito e non per studio o altro, lo conferma anche il fatto che altrimenti non avrebbero bisogno di ruotare IP e sistemi operativi al fine di mascherare la pratica e rendere difficile il ban.. anche a tools specifici.. infatti fail2ban se non riceve un certo numero di richieste non andate a buon fine, da un solo IP non lo banna...
Anche perché non si scannerizza più nemmeno le pagine nello scanner...

[TommyB1992]

Un conto è SCANSIONARE e un conto è cercare BUG per accedere al sito o hackerarlo...

[...]
Scansione è anche l'azione che compie un programma per ricercare elementi...
[...]

Comunque ripeto è normalissimo... Tu sul serio pensi che i mass defacer cercano manualmente sito per sito per trovare eventuali vulnerabilità?

OT/ Poi ho visto che fai il cartomante...

Rito per Allontanare gli Spiriti Maligni da una Casa
80,50€ 70,00€

Rito di S. Valentino 14 Febbraio Rito di S. Valentino 14 Febbraio
69,00€ 43,00€

Polvere Fine Anno sacchetto 20 gr.
13,50€ 11,00€

polvere magica sacchetto Polvere Comando sacchetto 20 gr.
13,50€ 11,00€

ahuahuaahuhuaahuahu
da ex bug hunter mi vergognerei di inserire il tuo sito nel mio curriculm di defaces su zone-h. La grafica fatta con paint è stupenda comunque.

Software @ Management è professionista a Bologna nel settore specifico del WEB DESIGN e attività internet in generale

[Actarus5]

Il rito di San Valentino in offerta è interessante visto che manca poco ormai...
Comunque, per quanto sia una cosa antipatica io non me ne curerei più di tanto, Tommy ha chiarito bene la questione e non dovresti preoccuparti.

[TommyB1992]

Il rito di San Valentino in offerta è interessante visto che manca poco ormai...
Comunque, per quanto sia una cosa antipatica io non me ne curerei più di tanto, Tommy ha chiarito bene la questione e non dovresti preoccuparti.

Ma io fossi in lui non starei così sicuro, ho dato uno sguardo veloce e in 10 minuti ho trovato una gravissima falla di sicurezza e ho notato che tiene tutti i suoi siti hostati su un unico server, bucato uno, bucato tutti, oltre al fatto che sopra ci risiedono siti con cui vende pec e domini e sono collegati account paypal suoi e probabilmente di alcuni suoi sfortunati clienti (si inventa di tutto: web-developer, sys-admin, fa i tarocchi [Sam sacerdote indovino sensitivo .cit], vende domini e email certificate, cosa non fa quest'uomo?!?!? ).

[Sargonsei]

Se temi che qualcuno voglia danneggiare il tuo sito perché ce l'ha con te, prova la soluzione che si trova in questa pagina WEB.
https://magiko.biz/prodotto/grande-ritu ... -i-nemici/
Se quello che è riportato in quella pagina non funziona, proteggere il sito web che la ospita è del tutto inutile.
In ogni caso, complimenti per la grafica del tuo sito; fossero altrettanto pregevoli i contenuti...

[TommyB1992]

Se temi che qualcuno voglia danneggiare il tuo sito perché ce l'ha con te, prova la soluzione che si trova in questa pagina WEB.
https://magiko.biz/prodotto/grande-ritu ... -i-nemici/

ahuahuahuahuahuahu sto morendo

[Sam9999]

Ma io fossi in lui non starei così sicuro, ho dato uno sguardo veloce e in 10 minuti ho trovato una gravissima falla di sicurezza e ho notato che tiene tutti i suoi siti hostati su un unico server, bucato uno, bucato tutti, oltre al fatto che sopra ci risiedono siti con cui vende pec e domini e sono collegati account paypal suoi e probabilmente di alcuni suoi sfortunati clienti (si inventa di tutto: web-developer, sys-admin, fa i tarocchi [Sam sacerdote indovino sensitivo .cit], vende domini e email certificate, cosa non fa quest'uomo?!?!?

Se vuoi hackerare fa pure.. se ci riesci, tengo costantemente aggiornato tutti i siti ed il sistema operativo. Se sono su un solo server è che ho soldi solo per quello.

Poi come detto se io so fare più cose di te.. non significa che non le faccio altrettanto bene, sia il lavoro e sia gli hobby e sia quando li combino in siti web...

POi magari avessi qualche sfortunato cliente... ho dovuto fare il server che spendo 10 euro al mese per 300 Gb. e risorse CPU e memoria migliori di quelli in cloud o in giro a 500 euro mese.
Poi visto che sei così geniale a trovare falle, me la potresti evidenziare? O sei solo un ciarlatano....

[Sam9999]

Se temi che qualcuno voglia danneggiare il tuo sito perché ce l'ha con te, prova la soluzione che si trova in questa pagina WEB.
https://magiko.biz/prodotto/grande-ritu ... -i-nemici/

ahuahuahuahuahuahu sto morendo

Sta attento che lo potrei fare a te... poi ci credi oppure no vedi cosa succede...

[TommyB1992]

Questo sito è del 1998 i siti nuovi sono http://www.magiko.biz e http://www.tarocchi.ga

Beh se quelli sono i nuovi allora ritiro tutto...

Faccio quello che mi piace, se permetti...

Per me, tu puoi fare quello che vuoi, anche oltre i limiti della legge, io non sono ne giudice ne moralista... però due risate me le faccio quando posso...

Poi visto che sei così geniale a trovare falle, me la potresti evidenziare? O sei solo un ciarlatano....

Fra me e te? Non so... faccio decidere agli altri utenti del forum!

Comunque certo, ti mando dati per l'accredito del servizio con rilascio di regolare fattura se sei interessato.

[Sam9999]

Questo sito è del 1998 i siti nuovi sono http://www.magiko.biz e http://www.tarocchi.ga

Beh se quelli sono i nuovi...
http://www.magiko.biz è del 2009 e tarocchi.ga è di 3 anni ma non è di certo il principale per cui ho messo su il server che mi serve principalmente per http://www.scienzamagia.eu.. in ogni caso www.magiko.biz usa WP e WOOcommerce e se magari può essere migliorato oggi ha anche wp 9.4.1.. quindi è nuovo.

.. però due risate me le faccio quando posso...

Fra me e te? Non so... faccio decidere agli altri utenti del forum!

Comunque certo, ti mando dati per l'accredito del servizio con rilascio di regolare fattura se sei interessato.

Si.. si certo e mia madre è la madonna.... il fatto che siano su un solo server non implica i problemi di sicurezza che vorresti dare a credere, solo per poi magari richiederti una consulenza.
Mi sembri quelli di un server in Italia che se prendi il virtuale da loro a basso costo, viene continuamente bucato ed è sempre down... chissà perché se li avevo in America o adesso quello che ho in ufficio sono anni che non vengono bucati e non sono down... magari perchè si è il basso costo, ma anche per vendere la consulenza... CAZZO mi hanno creato problemi seri quefgli stronzi.. sono dovuto andare altrove e non avere più problemi. (non parlo di aruba... magari qualcuno poteva pensare di loro )
Ci tengo alal sicurezza e nn solo ho alte le difese del server, ma anche non sono all'IP che vedi online ....
Ho anche un serverino mirror di backup che tiro su se dovesse avere problemi il primo.

[TommyB1992]

Ti assicuro che la falla di sicurezza è presente ed è anche grave.
Non ti sto vendendo la consulenza, ti sto vendendo la falla.

La consulenza non serve, se vuoi un controllo su tutti i tuoi servizi aggiungerò uno zero al prezzo richiesto per la falla.

Ci tengo alal sicurezza e nn solo ho alte le difese del server, ma anche non sono all'IP che vedi online ....

Beh oltre che mago, sistemista, web-developer e imprenditore, fai tremare anche gli hacker/cracker di questo mondo

Però perdonami: fra una specializzazione e l'altra la terza media in Italiano non si poteva prendere?

[Sam9999]

Ti assicuro che la falla di sicurezza è presente ed è anche grave.
Non ti sto vendendo la consulenza, ti sto vendendo la falla.

La consulenza non serve, se vuoi un controllo su tutti i tuoi servizi aggiungerò uno zero al prezzo richiesto per la falla.

Ci tengo alal sicurezza e nn solo ho alte le difese del server, ma anche non sono all'IP che vedi online ....

Beh oltre che mago, sistemista, web-developer e imprenditore, fai tremare anche gli hacker/cracker di questo mondo

Però perdonami: fra una specializzazione e l'altra la terza media in Italiano non si poteva prendere?

Ehm... le falle ci possono anche essere a cercarle... anche ieri hano tirato giu i dati dal sito web del PD che di certo non hosto io ma qualche laureato come te.
Dicevo ci possono essere infatti ogni giorno escono aggiornamenti nuovi da installare.
Poi magari c'è qualcosa che ancora non mi si è evidenziato e non ho corretto... ma di certo tutti i giorni aggiorno SO e WP.
Ho l'IP coperto dal Cloud ma si può vedere lo stesso sapendo come fare...
Ho anche io tools vari sia di hackeraggio wordpress che servers.. se ti interessa e controllo anche i miei siti...
Magari tra un po' appena ho tempo mi interesso dei tuoi di siti web e server....
Sai c'è gente che con la terza media ha dato lavoro a tante persone e gente laureata che ha fatto fallire ditte di migliaia di persone.. vedi tu...

[TommyB1992]

Sai c'è gente che con la terza media ha dato lavoro a tante persone e gente laureata che ha fatto fallire ditte di migliaia di persone.. vedi tu...

Ne sono certo... ma ho qualche dubbio che tu sia nulla di tutto ciò xD

Magari tra un po' appena ho tempo mi interesso dei tuoi di siti web e server....

Mi raccomando tieni bene in caldo i tuoi tools di hackeraggio per wordpress

[giulux]

Le polemiche personali fatele in privato, come da regolamento.
Grazie.