Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Vulnerability scan vanaf CF ipadres

11-11-2022, 22:52 door Anoniem, 5 reacties
Regelmatig 'tail'/analyseer ik mijn webserverlog om te zien wat er gaande is. Naast legitiem webverkeer ook, zoals altijd scans en tests op oude vulnerabilities. Niks geks. Nu zie ik relgelmatig scans met een useragent waar anonymousfox is staat, via deze scans worden er kwetsbaarheden in WP-sites gezocht en in dit geval is het door de useragent makkelijk te herkennen. Nu viel mij op dat deze scans vanaf een cloudflare ip afkomstig zijn. Mijn eigen site zit ook achter cloudflare.

- Hoe kan het onderstaande event uit mijn accesslog afkomstig zijn van een cloudflare ip-adres?
- Bestaan er mogelijkheden om met een (malifide) site achter cloudflare verbindingen op te zetten vanaf een cloudflare ip-adres. Naar mijn kennis kan dit niet.

Het AS achter 172.71.94.0/24 is Cloudflare

172.71.94.x - - [13/Oct/2022:01:36:32 +0200] "GET /upload.php HTTP/1.1" 301 473 "anonymousfox " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
Reacties (5)
12-11-2022, 19:00 door Anoniem
Door Anoniem:

- Hoe kan het onderstaande event uit mijn accesslog afkomstig zijn van een cloudflare ip-adres?
- Bestaan er mogelijkheden om met een (malifide) site achter cloudflare verbindingen op te zetten vanaf een cloudflare ip-adres. Naar mijn kennis kan dit niet.


En waarom zou dit niet kunnen?
13-11-2022, 16:55 door Anoniem
Misschien heb je je logging verkeerd staan als dat mogelijk is, en dat je niet het juiste IP terugziet.
14-11-2022, 14:24 door Anoniem
Wellicht van de Cloudflare WARP VPN?
16-11-2022, 11:31 door Anoniem
Er zijn meerdere bedrijven, stichtingen en allerlei onderzoekers die dagelijks het hele internet scannen op kwetsbaarheden. Dit kan vanaf allerlei IP-adressen komen en dus ook vanaf een CF IP. Hoeft dus niet gelijk malafide te zijn.
17-11-2022, 11:44 door Anoniem
Je zegt zelf al, je site zit achter CF. Oftewel, CF is proxy voor je site. De IP adressen die je logt zijn dus die van CF zelf en niet van de originele requester.

Als je Apache gebruikt: Installeer mod_remoteip, zie ook: https://support.cloudflare.com/hc/en-us/articles/200170786#C5XWe97z77b3XZV
Dan komen de originele IP's weer in de logs, ipv de CF proxy IP's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.