Profil de menace
Activité suspecte — risque 58/100 (Moyen) — MITRE TA0001 — confiance 59 % — via HTTP
Activité suspecte — risque 58/100 (Moyen) — MITRE TA0001 — confiance 59 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance 59 % — Score WAF 100 · 5 tag(s) WAF
ASN 25369 · 194.50.234.0/23 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 131 événements sur la période pour cette IP.
Même FAI Hydra Communications Ltd — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
131 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
131 événement(s) — page 2/3
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 3121 | http | Traversal LFI | Élevée | Moyen · 57 |
|
|
|
Étape
Tentative d'exploit
MITRE
TA0001
TA0002
WAF
27
Recommandation
Investiguer
Tags
Cible HTTP
GET
/favicon.ico
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3121
Chemin / cible
/favicon.ico
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
lfi-14
rce-0
ssrf-3
nosqli-3
Payload (extrait)
GET /favicon.ico HTTP/1.1 Host: 62.3.50.33:3121 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) A
Requête brute (extrait)
GET /favicon.ico HTTP/1.1 Host: 62.3.50.33:3121 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 3996 | http | Traversal LFI | Élevée | Moyen · 59 |
|
|
|
Étape
Tentative d'exploit
MITRE
TA0001
TA0002
WAF
30
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3996
Chemin / cible
/
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
lfi-14
rce-0
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Conne
Requête brute (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close |
|||||||
| TCP | 6002 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 4001 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 26900 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6040 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 25565 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 993 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
993
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 6038 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
6038
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 3308 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 888 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6020 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 3121 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 28905 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
28905
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 3121 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 9160 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 1883 | mqtt | mqtt probe | Élevée | Moyen · 50 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6467 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
6467
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 1433 | tls | Sonde TLS | Élevée | Élevé · 81 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 8767 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 27017 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
27017
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 4343 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 31474 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
31474
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 3307 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 3868 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 16788 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 33250 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
33250
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 5632 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 636 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 3307 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3307
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 5238 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 21116 | — | Sonde port | Faible | Faible · 5 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 14547 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
14547
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 1435 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1435
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 26940 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
26940
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 6052 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6432 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 20547 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
20547
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 1167 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 444 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
444
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 9600 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 32294 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
32294
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 6789 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 523 | — | Sonde port | Faible | Faible · 5 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6049 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
6049
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 7547 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 18080 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 3724 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3724
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 5986 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 1762 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||