Profil de menace
Activité suspecte — risque 53/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Activité suspecte — risque 53/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance 100 % — Score WAF 72 · 3 tag(s) WAF
ASN 219502 · 94.154.43.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 78 événements sur la période pour cette IP.
Même FAI Storm Industries LLC — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
78 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
78 événement(s) — page 1/2
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 3 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:3 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
3
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 2 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:2 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
2
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 1 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:1 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 31280 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:31280 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
31280
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 30000 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:30000 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
30000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 28081 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:28081 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
28081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 28080 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:28080 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
28080
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 21000 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:21000 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
21000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 20000 · DNP3 TCP | dnp3-tcp | dnp3 probe dnp3 probe · via DNP3 TCP:20000 · (sonde / probe) | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T0836
TA0007
TA0001
Protocole
Émulateur
DNP3-TCP
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
20000
Chemin / cible
—
Service
DNP3 TCP
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « dnp3_probe » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 45
Confiance : Confiance 100 % — 4 signal(aux) capteur
Protocole émulé
1
Signaux
Ot Dnp3 Unauth
Ot Dnp3 Variants
Upstream
Technique MITRE
T0836
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 18080 · MONERO P2P | monero-p2p | monero probe monero probe · via MONERO P2P:18080 · (sonde / probe) | Élevée | Faible · 34 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
MONERO-P2P
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
18080
Chemin / cible
—
Service
MONERO P2P
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « monero_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 34
Confiance : Confiance 0 % — 4 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 10888 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:10888 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10888
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 10810 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:10810 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10810
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 10809 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:10809 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10809
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 10808 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:10808 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10808
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 10001 · MEMCACHED ALT | memcached-alt | Botnet Mozi mozi pattern · via MEMCACHED ALT:10001 · (commande & contrôle) | Élevée | Faible · 36 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
MEMCACHED-ALT
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
10001
Chemin / cible
—
Service
MEMCACHED ALT
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 36
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 10000 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:10000 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
10000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9999 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9999 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9999
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9998 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9998 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9998
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9444 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9444 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9444
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9200 · ELASTICSEARCH | elasticsearch | LFI wrapper PHP lfi php wrapper · via ELASTICSEARCH:9200 · (tentative d'exploit) | Élevée | Moyen · 57 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / Requête Elasticsearch : http://146.56.180.42:3333/ UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
ELASTICSEARCH
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9200
Chemin / cible
/
Service
ELASTICSEARCH
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 57
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9098 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9098 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9098
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9095 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9095 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9095
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9093 · KAFKA CONTROLLER | kafka-controller | Botnet Mozi mozi pattern · via KAFKA CONTROLLER:9093 · (commande & contrôle) | Élevée | Faible · 36 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
KAFKA-CONTROLLER
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9093
Chemin / cible
—
Service
KAFKA CONTROLLER
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 36
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9092 · KAFKA | kafka | Sonde Kafka kafka probe · via KAFKA:9092 · (sonde / probe) | Élevée | Faible · 29 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
KAFKA
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9092
Chemin / cible
—
Service
KAFKA
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « kafka_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 29
Confiance : Confiance 0 % — 4 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9091 · KAFKA JMX | kafka-jmx | Botnet Mozi mozi pattern · via KAFKA JMX:9091 · (commande & contrôle) | Élevée | Faible · 36 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
KAFKA-JMX
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9091
Chemin / cible
—
Service
KAFKA JMX
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 36
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9090 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9090 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9090
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9081 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9081 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9080 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9080 · (tentative d'exploit) | Élevée | Moyen · 57 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9080
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 57
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9060 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9060 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9060
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9050 · TOR SOCKS | tor-socks | Botnet Mozi mozi pattern · via TOR SOCKS:9050 · (commande & contrôle) | Élevée | Faible · 38 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
TOR-SOCKS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9050
Chemin / cible
—
Service
TOR SOCKS
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 38
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9050 · TOR SOCKS | tor-socks | proxy probe proxy probe · via TOR SOCKS:9050 · (sonde / probe) | Élevée | Faible · 35 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
TOR-SOCKS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9050
Chemin / cible
—
Service
TOR SOCKS
Payload
Pourquoi cette classification : Type « proxy_probe » (signaux protocolaires) · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Faible
· 35
Confiance : Confiance 50 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0554
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
|
|||||||
| TCP | 9040 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9040 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9040
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9011 · Webhook GitHub | github-webhook | github webhook abuse github webhook abuse · via Webhook GitHub:9011 · (tentative d'exploit) | Élevée | Faible · 34 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
Émulateur
GITHUB-WEBHOOK
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9011
Chemin / cible
—
Service
Webhook GitHub
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « github_webhook_abuse » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 34
Confiance : Confiance 0 % — 3 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9010 · Webhook Discord | discord-webhook | discord webhook abuse discord webhook abuse · via Webhook Discord:9010 · (tentative d'exploit) | Élevée | Faible · 34 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
Émulateur
DISCORD-WEBHOOK
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9010
Chemin / cible
—
Service
Webhook Discord
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « discord_webhook_abuse » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 34
Confiance : Confiance 0 % — 3 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9008 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9008 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9008
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9003 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9003 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9003
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9002 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9002 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9002
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9001 · TOR OR | tor-or | tor exit probe tor exit probe · via TOR OR:9001 · (commande & contrôle) | Élevée | Moyen · 42 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
TOR-OR
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
9001
Chemin / cible
—
Service
TOR OR
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « tor_exit_probe » (signaux protocolaires) · confiance 46%
Confiance classification
46%
Confiance modérée — signal unique
Risque capteur
Moyen
· 42
Confiance : Confiance 46 % — 5 signal(aux) capteur
Protocole émulé
1
Signaux
Tor Exit Hint
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 9000 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:9000 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
9000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8989 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8989 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8989
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8899 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8899 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8899
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8888 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8888 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8888
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
HTTP alt 8888 probe
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8887 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8887 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8887
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8886 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8886 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8886
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8885 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8885 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8885
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8883 · MQTTS | mqtts | mqtt probe mqtt probe · via MQTTS:8883 · (sonde / probe) | Élevée | Faible · 34 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
MQTTS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
8883
Chemin / cible
—
Service
MQTTS
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mqtt_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 34
Confiance : Confiance 0 % — 4 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8882 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8882 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8882
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8881 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8881 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8881
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8880 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8880 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8880
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Protocole émulé
1
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8866 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8866 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8866
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||