Il y a actuellement un trafic bizarre sur un serveur HTTP provenant de nombreuses IP différentes. J'ai essayé de vérifier les nœuds de sortie TOR connus, mais il n'y a pas de correspondance.
Ils sont généralement originaires de pays d'Amérique du Sud et d'Afrique. Cependant, aucune des IP n'est la même. Je ne sais donc pas comment l'attaquant peut utiliser autant d'IP différentes, chaque IP n'étant utilisée qu'une seule fois.
Quelqu'un sait-il comment un attaquant pourrait obtenir des "IP à usage unique" ? Peut-être proviennent-elles d'une sorte de botnet loué ? Si c'est le cas, existe-t-il un moyen simple de vérifier ces IP en les comparant à une liste d'IP de menaces connues ?
Toute aide serait grandement appréciée.
0 votes
C'est très probablement un botnet. Pouvez-vous voir dans les journaux de votre serveur web et
/var/log/auth.logce qu'ils essaient de faire ? Vous devez alors bloquer ces requêtes en filtrant les ports correspondants, etc.