89.248.163.203 | 80.12.25.216

[angelique]

OLa

A chaque fois que mon gamin est à la maison, sinon ça le fait pas.

Que son téléphone soit potentiellement crabé, je m'en tape, il s'en tape car ne comprend pas

Voila la situation:

Je débranche/rebranche le routeur donc changement d'ip public aléatoire et à chaque fois un "gazier" amsterdam [port_scan] suivi d'un "gazier" chez Orange [DOS]

UDP Packet - Source:80.12.25.216,8080 Destination:2.14.44.125,45327 - [DOS]
UDP Packet - Source:80.12.25.216,50264 Destination:2.14.44.125,43196 - [DOS]
UDP Packet - Source:80.12.25.216,8080 Destination:2.14.44.125,45327 - [DOS]
UDP Packet - Source:80.12.25.216,8080 Destination:2.14.44.125,45378 - [DOS]
UDP Packet - Source:80.12.25.216,54196 Destination:2.14.44.125,41827 - [DOS]
UDP Packet - Source:80.12.25.216,8080 Destination:2.14.44.125,45378 - [DOS]
TCP Packet - Source:89.248.163.203 Destination:2.14.44.125 - [PORT SCAN]
TCP Packet - Source:89.248.163.203 Destination:2.14.44.125 - [PORT SCAN]


https://browserleaks.com/ip/89.248.163.203

https://browserleaks.com/ip/80.12.25.216

Ce qui m'intéresse surtout c'est quoi le lien entre les 2 IPs

kitty@kitty:~/Documents/gnu/nikto-master/program$ sudo perl nikto.pl -h 80.12.25.216
[sudo] Mot de passe de kitty :
- Nikto v2.1.6
---------------------------------------------------------------------------
+ Target IP: 80.12.25.216
+ Target Hostname: 80.12.25.216
+ Target Port: 80
+ Start Time: 2022-12-17 19:37:03 (GMT1)
---------------------------------------------------------------------------
+ Server: nPerf/2.2.7 2022-10-14
+ IP address found in the 'nperfserver-remote-endpoint' header. The IP is "2.14.13.251".
+ The anti-clickjacking X-Frame-Options header is not present.
+ The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS
+ Uncommon header 'nperfserver-remote-endpoint' found, with contents: 2.14.13.251
+ The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /crossdomain.xml contains 1 line which include the following domains: *.nperf.com" secure="false
+ Server banner changed from 'nPerf/2.2.7 2022-10-14' to 'ADSL Router'
+ Uncommon header 'conten-type' found, with contents: text/html
+ OSVDB-3093: /admin/upload.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ OSVDB-3093: /tinymsg.php: This might be interesting: has been seen in web logs from an unknown scanner.
+ /#wp-config.php#: #wp-config.php# file found. This file contains the credentials.
+ 8080 requests: 9 error(s) and 11 item(s) reported on remote host
+ End Time: 2022-12-17 19:52:08 (GMT1) (905 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

89.248.163.203 Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times may be slower.
Starting Nmap 7.92 ( https://nmap.org ) at 2022-12-17 20:06 CET
NSE: Loaded 155 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed
Initiating Parallel DNS resolution of 1 host. at 20:06
Completed Parallel DNS resolution of 1 host. at 20:06, 0.00s elapsed
Initiating Connect Scan at 20:06
Scanning recyber.net (89.248.163.203) [1000 ports]
Discovered open port 22/tcp on 89.248.163.203
Completed Connect Scan at 20:06, 2.96s elapsed (1000 total ports)
Initiating Service scan at 20:06
Scanning 1 service on recyber.net (89.248.163.203)
Completed Service scan at 20:06, 0.08s elapsed (1 service on 1 host)
NSE: Script scanning 89.248.163.203.
Initiating NSE at 20:06
Completed NSE at 20:06, 1.18s elapsed
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed
Nmap scan report for recyber.net (89.248.163.203)
Host is up (0.040s latency).
Not shown: 995 closed tcp ports (conn-refused)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
| 2048 9d:10:7e:52:ed:4c:f5:5a:82:ba:2e:ba:f4:10:f4:4a (RSA)
| 256 b0:fc:90:ca:17:a0:d7:28:f0:18:21:5f:6a:20:36:3b (ECDSA)
|_ 256 82:93:45:86:8e:ec:9e:2d:3d:5c:64:26:5d:4d:1e:ea (ED25519)
25/tcp filtered smtp
1863/tcp filtered msnp
5050/tcp filtered mmcc
5190/tcp filtered aol

NSE: Script Post-scanning.
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed
Initiating NSE at 20:06
Completed NSE at 20:06, 0.00s elapsed

[Malekal_morte]

J'ai aussi pas mal de requêtes de ce recyber.net sur les serveurs et on est pas les seuls : https://duckduckgo.com/?q=%22recyber.ne ... ave&ia=web
Donc je dirai que c'est normal.

[angelique]

OK , du coup aujourd'hui rien

[Parisien_entraide]

Même si "légitime" ça scanne à fond chaque IP pour mettre en base de données les ports ouverts

A priori il y a une option de OP OUT https://www.recyber.net/
https://learn.microsoft.com/en-us/answe ... nning.html

"Bienvenue dans le scanner IoT automatique. Nous collectons des statistiques sur les appareils connectés. Vous pouvez voir des informations sur les appareils connectés à votre adresse IP ici."

Je dis "à priori' non pas parce que la fonction n'existe pas, mais parce que certains ont suggéré une fausse adresse IP et en envoyant via une fausse adresse email et ont reçu en retour une notification comme quoi l'adresse a été retirée de la base (il n'y a donc pas de vérification)

Le site existe depuis 2014 et repertorie/stocke donc la plus grosse base de données au monde de .. ports ouverts
Le site a été enregistré à nouveau en janvier 2021 auprès de Namecheap.


Je pense comme l'analyse faite ici
https://www.threatstop.com/blog/yet-ano ... r-patience

En fait cela se dit légitime, mais on ne sait pas QUI est vraiment derrière
En plus de quel droit scannent t-ils ? (la sécurité c'est comme la lutte contre le terrorisme ca a bon dos)

Cela me rappelle les google car qui en profite pour scanner tous les réseaux WI FI et IOT, pour déterminer les ports ouverts, types de réseaus/fréquences cryptage etc

Le but en fait est de récupérer des données matérielles/logicielles dans le but (futur au cas où) d'interceptions réseaux, téléphoniques, et bien entendu possible attaques (DDOS par ex)

[Malekal_morte]

Comme Shodan.

[Parisien_entraide]

Sauf que Shodan on sait QUI est derrière, ce à quoi cela sert, etc

[Malekal_morte]

Marrant, car CloudFlare 89.248.163.203 classe l'IP comme étant en Russie via INFOLINK-T-AS Moscow, Russia.
Alors que c'est plutôt AS202425 IP Volume inc --- Quasi Networks LTD.
Sur ce dernier, on trouve aussi cet article : https://medium.com/@dephekt/anon-ib-qua ... 2649daba0f

89-248-163-203-Cloudflare.jpg

[Parisien_entraide]

En fait cela peut confirmer le fait qu'en 2021 lors du nouvel enregistrement chez NameCheap, la Russie avait été accusée d'être derrière le site
Là en lisant le lien, on s'aperçoit en fait qu'ils sont derrière depuis bientôt 10 ans


Petite curiosité j'ai retrouvé dans mes archives pour la configuration de l'ancienne BOX, sur le route statique, ces adresses qui sont en correspondance

89.248.165.102
89.248.163.159
80.82.77.33

Dans le lien que tu cites on note l'adresse :
80.82.77.70

En fait c'est toute la tranche 80.82.77.0 - 80.82.77.255 qui devrait être bloquée

Bref les Russes font ce que les USA font, ce qui facilité la vie par la suite pour les attaques (DDOS ou autres pour s'infiltrer)