• 18-01-2022, 21:53:07
    #1
    Merhabalar,

    Tarafımıza sunucunuz ile ilgili olarak aşağıdaki şekilde abuse bildirimi ulaşmıştır gerekli kontrolleri sağlayarak düzenleme sağlamanızı rica ediyoruz.

    Saygılarımla.

    Dear Provider,

    I am Mark Bacsko, Incident Analyst at BitNinja Server Security. I’m writing to inform you that we have detected malicious requests from the IP 89.252.xx.xx directed at our clients’ servers.
    Timestamp (UTC): 2022-01-16 12:46:22

    As a result of these attacks, we have added your IP to our greylist to prevent it from attacking our clients’ servers.

    Servers are increasingly exposed as the targets of botnet attacks and you might not be aware that your server is being used as a “bot” to send malicious attacks over the Internet.

    I’ve collected the 3 earliest logs below, and you can find the freshest 100, that may help you disinfect your server, under the link. The timezone is UTC +2:00.
    http://bitninja.io/incidentReport.ph...ff192415dfbe0e
    Url: [www.zochrim.org/xmlrpc.php]
    Remote connection: [89.252.xx.xx :47164]
    Headers: [array (
    ‘Host’ => ‘www.zochrim.org’,
    ‘User-Agent’ => ‘Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0’,
    ‘Content-Length’ => ‘482’,
    ‘Content-Type’ => ‘application/x-www-form-urlencoded’,
    ‘Accept-Encoding’ => ‘gzip’,
    ‘Connection’ => ‘close’,
    ‘BN-ROBOTFILTER’ => ‘waf-https’,
    ‘BN-Frontend’ => ‘waf-https’,
    ‘BN-Client-Port’ => ‘41338’,
    ‘X-Forwarded-For’ => ‘89.252.xx.xx ’,
    )]
    Post data: [Array
    (
    [<?xml_version] => “1.0”?>system.multicallmethodNamewp.getUsersBlogsp aramsadminadmin@123
    )
    ]
    Url: [jongler.co.il/xmlrpc.php]
    Remote connection: [89.252.xx.xx :34368]
    Headers: [array (
    ‘Host’ => ‘jongler.co.il’,
    ‘User-Agent’ => ‘Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0’,
    ‘Content-Length’ => ‘481’,
    ‘Content-Type’ => ‘application/x-www-form-urlencoded’,
    ‘Accept-Encoding’ => ‘gzip’,
    ‘Connection’ => ‘close’,
    ‘BN-Frontend’ => ‘captcha-https’,
    ‘X-Forwarded-Port’ => ‘443’,
    ‘X-Forwarded-Proto’ => ‘https’,
    ‘BN-Client-Port’ => ‘33396’,
    ‘X-Forwarded-For’ => ‘89.252.xx.xx ’,
    )]
    Post data: [Array
    (
    [<?xml_version] => “1.0”?>system.multicallmethodNamewp.getUsersBlogsp aramsstaffguy83123
    )
    ]
    Url: [mazalflowers.com/xmlrpc.php]
    Remote connection: [89.252.xx.xx :32878]
    Headers: [array (
    ‘Host’ => ‘mazalflowers.com’,
    ‘User-Agent’ => ‘Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0’,
    ‘Content-Length’ => ‘516’,
    ‘Content-Type’ => ‘application/x-www-form-urlencoded’,
    ‘Accept-Encoding’ => ‘gzip’,
    ‘Connection’ => ‘close’,
    ‘BN-Frontend’ => ‘captcha-https’,
    ‘X-Forwarded-Port’ => ‘443’,
    ‘X-Forwarded-Proto’ => ‘https’,
    ‘BN-Client-Port’ => ‘53378’,
    ‘X-Forwarded-For’ => ‘89.252.xx.xx ’,
    )]
    Post data: [Array
    (
    [<?xml_version] => “1.0”?>system.multicallmethodNamewp.getUsersBlogsp aramsaa47f8215c6f30a0dcdb2a36a9f4168emazalflowers. com
    )
    ]

    Please keep in mind that after the first intrusion we log all traffic between your server and the BitNinja-protected servers until the IP is removed from the greylist. This means you may see valid logs beside the malicious actions in the link above. If you need help finding the malicious logs, please don’t hesitate to contact our incident experts by replying to this e-mail.
    For more information on analyzing and understanding outbound traffic, check out this:
    https://docs.bitninja.io/wp-content/...1-scaled-1.png
    We’ve also dedicated an entire site help people prevent their server from sending malicious attacks:
    https://docs.bitninja.io/serverprotection/doc/

    Our incident experts are also happy to help you and can provide detailed logs if needed. Please, feel free to connect me with the administrator or technical team responsible for managing your server.

    Thank you for helping us make the Internet a safer place!

    Regards,

    Mark Bacsko
    Incident Analyst
    BitNinja @ GBHackers
    BitNinja.io @ BusinessInsider UK
  • 18-01-2022, 21:56:38
    #2
    Kripto para sektörü ile ilgili girişimleriniz var ki lamerler peşinize düşmüş, senaryo deniyor

    Hiçbir linke tıklamayın valla elemanlar yeni bir trojan yapmışlar. Linke tıkladığınız anda bilgisayarınıza yerleşiyor. Arka tarafta çalıştığını bile göremiyorsunuz. Kendisini windows güncellemesi olarak gösteriyor. Siz pc başında olmadığınız zamanlarda kamerayı bile aktif pasif ediyor ki diğerlerini saymıyorum bile
  • 18-01-2022, 22:00:38
    #3
    omerbulut00 adlı üyeden alıntı: mesajı görüntüle
    Kripto para sektörü ile ilgili girişimleriniz var ki lamerler peşinize düşmüş, senaryo deniyor

    Hiçbir linke tıklamayın valla elemanlar yeni bir trojan yapmışlar. Linke tıkladığınız anda bilgisayarınıza yerleşiyor. Arka tarafta çalıştığını bile göremiyorsunuz. Kendisini windows güncellemesi olarak gösteriyor. Siz pc başında olmadığınız zamanlarda kamerayı bile aktif pasif ediyor ki diğerlerini saymıyorum bile
    bu mesaj bana @Netinternet; ilkbyte firmasında barındırdığım vds icin ilkbyt yönetiminden geldi, sanıyorum benim sunucum bir yerlere saldırıyormuş. kripto param malesef yok
  • 18-01-2022, 22:04:13
    #4
    Siz yinede net interneti arayın sorun
  • 03-03-2022, 01:17:15
    #5
    Geç oldu ama, loglara bakarsak birden fazla klasik xmlrpc saldırı çıkışları olmuş. Nasıl oldu bilemeyebilirsiniz ama önce bir sıfırlayın sonra güvenlik açığı olan bir yazılım vs var mı araştırın kontrol edin.