Profil de menace
Activité suspecte — risque 56/100 (Moyen) — MITRE TA0001 — confiance 59 % — via HTTP
Activité suspecte — risque 56/100 (Moyen) — MITRE TA0001 — confiance 59 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance 59 % — Score WAF 100 · 5 tag(s) WAF
ASN 25369 · 81.19.216.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 34 événements sur la période pour cette IP.
Même FAI Hydra Communications Ltd — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
34 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
34 événement(s) — page 1/1
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 32839 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:32839 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Émulateur
HTTP
WAF
30
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
32839
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 56
Confiance : Confiance 59 % — 5 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
lfi-14
rce-0
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Conne
Requête brute (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close |
|||||||
| TCP | 25219 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:25219 · (tentative d'exploit) | Élevée | Moyen · 57 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Émulateur
HTTP
WAF
30
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
25219
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 57
Confiance : Confiance 59 % — 5 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
lfi-14
rce-0
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Conne
Requête brute (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close |
|||||||
| TCP | 19631 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:19631 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Émulateur
HTTP
WAF
30
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
19631
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 56
Confiance : Confiance 59 % — 5 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
lfi-14
rce-0
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Conne
Requête brute (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close |
|||||||
| TCP | 29992 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:29992 · (tentative d'exploit) | Élevée | Moyen · 57 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Émulateur
HTTP
WAF
30
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
29992
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 57
Confiance : Confiance 59 % — 5 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
lfi-14
rce-0
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Conne
Requête brute (extrait)
GET / HTTP/1.1 Host: 192.0.2.1 User-Agent: Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/) Accept: */* Connection: close |
|||||||
| TCP | 11799 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
11799
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 28831 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
28831
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 21378 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
21378
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 8333 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6002 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 20806 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
20806
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 18264 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 15961 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 20101 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
20101
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 8554 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8554
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 20338 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
20338
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 3441 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 623 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
623
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 23466 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6034 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 15897 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
15897
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 1750 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1750
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 6033 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 1024 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6015 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
6015
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 8032 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 16586 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
16586
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 9600 | — | Sonde port | Faible | Faible · 0 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
—
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 30207 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 6017 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 14030 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 18179 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
18179
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 465 | tls | Sonde TLS | Moyenne | Faible · 33 |
|
|
|
Étape
—
WAF
—
Recommandation
—
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
| TCP | 30303 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
30303
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||
| TCP | 25469 | http | web attack | Élevée | Critique · 100 |
|
|
|
Étape
—
WAF
30
Recommandation
—
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
25469
Chemin / cible
/
Ligne de requête
User-Agent
Mozilla/5.0 (compatible; Infrawatch/1.0; +https://infrawat.ch/)
Règles WAF
950318:lfi-14
950326:rce-0
950406:ssrf-3
950470:nosqli-3
950734:sap-sapcontrol-path
|
|||||||