Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vulnerability scan vanaf CF ipadres

11-11-2022, 22:52 door Anoniem, 5 reacties

Regelmatig 'tail'/analyseer ik mijn webserverlog om te zien wat er gaande is. Naast legitiem webverkeer ook, zoals altijd scans en tests op oude vulnerabilities. Niks geks. Nu zie ik relgelmatig scans met een useragent waar anonymousfox is staat, via deze scans worden er kwetsbaarheden in WP-sites gezocht en in dit geval is het door de useragent makkelijk te herkennen. Nu viel mij op dat deze scans vanaf een cloudflare ip afkomstig zijn. Mijn eigen site zit ook achter cloudflare.

- Hoe kan het onderstaande event uit mijn accesslog afkomstig zijn van een cloudflare ip-adres?
- Bestaan er mogelijkheden om met een (malifide) site achter cloudflare verbindingen op te zetten vanaf een cloudflare ip-adres. Naar mijn kennis kan dit niet.

Het AS achter 172.71.94.0/24 is Cloudflare

172.71.94.x - - [13/Oct/2022:01:36:32 +0200] "GET /upload.php HTTP/1.1" 301 473 "anonymousfox " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

SFP 'hardening'

Aanbevolen tools/plugins

Reacties (5)

12-11-2022, 19:00 door Anoniem

Door Anoniem:

- Hoe kan het onderstaande event uit mijn accesslog afkomstig zijn van een cloudflare ip-adres?
- Bestaan er mogelijkheden om met een (malifide) site achter cloudflare verbindingen op te zetten vanaf een cloudflare ip-adres. Naar mijn kennis kan dit niet.

En waarom zou dit niet kunnen?

13-11-2022, 16:55 door Anoniem

Misschien heb je je logging verkeerd staan als dat mogelijk is, en dat je niet het juiste IP terugziet.

14-11-2022, 14:24 door Anoniem

Wellicht van de Cloudflare WARP VPN?

16-11-2022, 11:31 door Anoniem

Er zijn meerdere bedrijven, stichtingen en allerlei onderzoekers die dagelijks het hele internet scannen op kwetsbaarheden. Dit kan vanaf allerlei IP-adressen komen en dus ook vanaf een CF IP. Hoeft dus niet gelijk malafide te zijn.

17-11-2022, 11:44 door Anoniem

Je zegt zelf al, je site zit achter CF. Oftewel, CF is proxy voor je site. De IP adressen die je logt zijn dus die van CF zelf en niet van de originele requester.

Als je Apache gebruikt: Installeer mod_remoteip, zie ook: https://support.cloudflare.com/hc/en-us/articles/200170786#C5XWe97z77b3XZV
Dan komen de originele IP's weer in de logs, ipv de CF proxy IP's.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Vulnerability scan vanaf CF ipadres

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren