Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vulnerability scan vanaf CF ipadres

11-11-2022, 22:52 door Anoniem, 5 reacties

Regelmatig 'tail'/analyseer ik mijn webserverlog om te zien wat er gaande is. Naast legitiem webverkeer ook, zoals altijd scans en tests op oude vulnerabilities. Niks geks. Nu zie ik relgelmatig scans met een useragent waar anonymousfox is staat, via deze scans worden er kwetsbaarheden in WP-sites gezocht en in dit geval is het door de useragent makkelijk te herkennen. Nu viel mij op dat deze scans vanaf een cloudflare ip afkomstig zijn. Mijn eigen site zit ook achter cloudflare.

- Hoe kan het onderstaande event uit mijn accesslog afkomstig zijn van een cloudflare ip-adres?
- Bestaan er mogelijkheden om met een (malifide) site achter cloudflare verbindingen op te zetten vanaf een cloudflare ip-adres. Naar mijn kennis kan dit niet.

Het AS achter 172.71.94.0/24 is Cloudflare

172.71.94.x - - [13/Oct/2022:01:36:32 +0200] "GET /upload.php HTTP/1.1" 301 473 "anonymousfox " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

SFP 'hardening'

Aanbevolen tools/plugins

Reacties (5)

12-11-2022, 19:00 door Anoniem

Door Anoniem:

- Hoe kan het onderstaande event uit mijn accesslog afkomstig zijn van een cloudflare ip-adres?
- Bestaan er mogelijkheden om met een (malifide) site achter cloudflare verbindingen op te zetten vanaf een cloudflare ip-adres. Naar mijn kennis kan dit niet.

En waarom zou dit niet kunnen?

13-11-2022, 16:55 door Anoniem

Misschien heb je je logging verkeerd staan als dat mogelijk is, en dat je niet het juiste IP terugziet.

14-11-2022, 14:24 door Anoniem

Wellicht van de Cloudflare WARP VPN?

16-11-2022, 11:31 door Anoniem

Er zijn meerdere bedrijven, stichtingen en allerlei onderzoekers die dagelijks het hele internet scannen op kwetsbaarheden. Dit kan vanaf allerlei IP-adressen komen en dus ook vanaf een CF IP. Hoeft dus niet gelijk malafide te zijn.

17-11-2022, 11:44 door Anoniem

Je zegt zelf al, je site zit achter CF. Oftewel, CF is proxy voor je site. De IP adressen die je logt zijn dus die van CF zelf en niet van de originele requester.

Als je Apache gebruikt: Installeer mod_remoteip, zie ook: https://support.cloudflare.com/hc/en-us/articles/200170786#C5XWe97z77b3XZV
Dan komen de originele IP's weer in de logs, ipv de CF proxy IP's.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer