Profil de menace
Activité suspecte — risque 53/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Activité suspecte — risque 53/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance 100 % — Score WAF 72 · 3 tag(s) WAF
ASN 219502 · 94.154.43.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 79 événements sur la période pour cette IP.
Même FAI Storm Industries LLC — corrélation indicative.
Cette IP touche plusieurs services simulés (pas seulement le web).
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
79 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
79 événement(s) — page 2/2
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 8866 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8866 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8866
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8808 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8808 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8808
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8800 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8800 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8800
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8787 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8787 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8787
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8686 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8686 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8686
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8500 · CONSUL | consul | consul probe consul probe · via CONSUL:8500 · (sonde / probe) | Élevée | Faible · 29 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
CONSUL
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
8500
Chemin / cible
—
Service
CONSUL
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « consul_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 29
Confiance : Confiance 0 % — 5 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8443 · HTTPS | https | Botnet Mozi mozi pattern · via HTTPS:8443 · (commande & contrôle) | Élevée | Faible · 36 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
HTTPS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
8443
Chemin / cible
—
Service
HTTPS
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 36
Confiance : Confiance 0 % — 3 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8383 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8383 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8383
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8282 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8282 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8282
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8228 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8228 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8228
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 8222 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:8222 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8222
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 6677 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:6677 · (tentative d'exploit) | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
6677
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 6667 · IRC | irc | irc probe irc probe · via IRC:6667 · (sonde / probe) | Élevée | Faible · 34 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
IRC
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
6667
Chemin / cible
—
Service
IRC
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « irc_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 34
Confiance : Confiance 0 % — 4 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 6666 · IRC ALT | irc-alt | Botnet Mozi mozi pattern · via IRC ALT:6666 · (commande & contrôle) | Élevée | Faible · 36 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
IRC-ALT
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
6666
Chemin / cible
—
Service
IRC ALT
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 36
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 1081 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:1081 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 1081 | — | proxy probe proxy probe · port 1081 · (sonde / probe) | Élevée | Faible · 35 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
Corrélations
MITRE
TA0007
TA0007
TA0001
Protocole
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
1081
Chemin / cible
—
Payload
Pourquoi cette classification : Type « proxy_probe » (signaux protocolaires) · confiance 50%
Confiance classification
58%
Corrélation +8
Risque capteur
Faible
· 35
Confiance : Confiance 50 % — Motif catalogue confirmé
Signaux
pat-0554
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
User-Agent
—
Règles WAF
—
Payload (extrait)
|
|||||||
| TCP | 1080 · SOCKS5 | socks5 | socks5 probe socks5 probe · via SOCKS5:1080 · (sonde / probe) | Élevée | Faible · 34 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
SOCKS5
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
1080
Chemin / cible
—
Service
SOCKS5
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « socks5_probe » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 34
Confiance : Confiance 0 % — 3 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 1080 · SOCKS5 | socks5 | socks5 probe socks5 probe · via SOCKS5:1080 · (sonde / probe) | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
SOCKS5
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
1080
Chemin / cible
—
Service
SOCKS5
Payload
Pourquoi cette classification : Type « socks5_probe » (signaux protocolaires) · confiance 67%
Confiance classification
67%
Risque capteur
Moyen
· 45
Confiance : Confiance 67 % — Motif catalogue confirmé
Protocole émulé
1
Signaux
pat-0567
Upstream
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Minecraft varint handshake
SOCKS5 greeting
User-Agent
—
Règles WAF
—
Payload (extrait)
|
|||||||
| TCP | 1000 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:1000 · (tentative d'exploit) | Élevée | Moyen · 53 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
1000
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 53
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 801 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:801 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
801
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 800 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:800 · (tentative d'exploit) | Élevée | Moyen · 56 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
800
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 56
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 587 · SMTP SUBMISSION | smtp-submission | Sonde port 587/TCP port 587 tcp · via SMTP SUBMISSION:587 · (sonde / probe) | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
SMTP-SUBMISSION
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
587
Chemin / cible
—
Preuve honeypot — Sonde port 587/TCP
Connexion détectée sur le port 587 (TCP) du capteur simulé.
Service
SMTP SUBMISSION
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « port_587_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Moyen
· 45
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 465 · SMTPS | smtps | Sonde port 465/TCP port 465 tcp · via SMTPS:465 · (sonde / probe) | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
SMTPS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
465
Chemin / cible
—
Preuve honeypot — Sonde port 465/TCP
Connexion détectée sur le port 465 (TCP) du capteur simulé.
Service
SMTPS
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « port_465_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Moyen
· 45
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 143 · IMAP | imap | Sonde port 143/TCP port 143 tcp · via IMAP:143 · (sonde / probe) | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
IMAP
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
143
Chemin / cible
—
Preuve honeypot — Sonde port 143/TCP
Connexion détectée sur le port 143 (TCP) du capteur simulé.
Service
IMAP
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « port_143_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Moyen
· 45
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 110 · POP3 | pop3 | Sonde port 110/TCP port 110 tcp · via POP3:110 · (sonde / probe) | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
Émulateur
POP3
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
110
Chemin / cible
—
Preuve honeypot — Sonde port 110/TCP
Connexion détectée sur le port 110 (TCP) du capteur simulé.
Service
POP3
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « port_110_tcp » (signaux protocolaires) · confiance 55%
Confiance classification
55%
Risque capteur
Moyen
· 45
Confiance : Confiance 55 % — Classification nommée non retenue — preuves insuffisantes
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 88 · KERBEROS | kerberos | Botnet Mozi mozi pattern · via KERBEROS:88 · (commande & contrôle) | Élevée | Faible · 37 |
|
|
|
Étape
Commande & contrôle
Chaîne
Commande & contrôle
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0011
TA0011
Protocole
Émulateur
KERBEROS
WAF
—
Recommandation
Surveiller
Tags
Cible HTTP
—
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
—
Port
88
Chemin / cible
—
Service
KERBEROS
Payload
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Pourquoi cette classification : Type « mozi_pattern » (signaux protocolaires) · confiance 0%
Confiance classification
0%
Risque capteur
Faible
· 37
Confiance : Confiance 0 % — 2 signal(aux) capteur
Protocole émulé
1
Technique MITRE
TA0011
Tactiques MITRE
TA0011
Motifs de détection (base)
LFI Double-dot bypass
User-Agent
—
Règles WAF
—
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 85 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:85 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
85
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 84 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:84 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
84
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||
| TCP | 83 · HTTP | http | LFI wrapper PHP lfi php wrapper · via HTTP:83 · (tentative d'exploit) | Élevée | Moyen · 55 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Émulateur
HTTP
WAF
16
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
83
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_php_wrapper » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 55
Confiance : Confiance 100 % — Motif catalogue confirmé · 3 tag(s) WAF
Signaux
pat-0088
pat-0103
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 931100
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Règles WAF
rce-0
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWe
Requête brute (extrait)
GET http://146.56.180.42:3333/ HTTP/1.1 Host: 146.56.180.42:3333 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Accept: */* Connection: close Accept-Encoding: gzip |
|||||||