By launching ApacheKiller attacks, the IP aimed to cause a Denial of Service by exhausting memory resources.

It attempted to login to the Mail server with an invalid password.

GET /modules/productpageadverts/uploadimage.php: This is related to a known vulnerability in the Prestashop module productpageadverts.

We observed the IP distributing harmful document tracking tools.

The IP was noticed spreading RATs (remote administration tools) camouflaged as regular software.

GET /index.php?param=: Attempting a cross-site scripting (XSS) attack.

The IP address attempted to register as a SIP user with an invalid username.

It sent unusually large Asterisk packets, potentially indicating a buffer overflow attempt.

It attempted to perform a phishing attack using the POP3 server.

Recu mail usurpant DISNEY avec utilisation des serveurs IP SENDGRID.net Recu ce Jeudi 17 Octobre 2024 après 06h15 du matin ( mails escrocs toujours envoyés les nuits ou week-ends ) le mail ci-dessous usurpant DISNEY : venant de la boite mail bidon: From: serviceclients : contato@leje.com.br avec encore utilisation des serveurs IP SENDGRID.net et adresse IP : 167.89.40.80 aux U.S.A et gérée par abuse@sendgrid.com Received : from s.xtrwnvrh.outbound-mail.sendgrid.net (s.xtrwnvrh.outbound-mail.sendgrid.net [167.89.40.80]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) by mlpnf0110.laposte.net (SMTP Server) with ESMTPS id 4XTZJR2NG0z1nrwM for <@laposte.net>; Thu, 17 Oct 2024 06:15:51 +0200 (CEST) DKIM-Signature : v=1; a=rsa-sha256; c=relaxed/relaxed; d=leje.com.br; h=mime-version:from:subject:content-type:content-transfer-encoding:to: cc:content-type:from:subject:to; IP Lookup Details: IP Information - 167.89.40.80 Host name: s.xtrwnvrh.outbound-mail.sendgrid.net Country: United States Country Code: US Region: CO City: Denver Latitude: 39.7525 Longitude: -104.9995 ********************* Contenu du mail des hackers ********************* Mickey vous adresse un message. • Aujourd'hui, à 06:15 (il y a 8 heures) 8Ko • • • S De : serviceclients • A : Moi • Disney+ Bonjour, Nous souhaitons vous informer que nous n'avons pas pu renouveler votre abonnement Disney+ en raison d'un problème avec votre méthode de paiement actuelle. Pour éviter toute interruption de service, veuillez mettre à jour vos informations de paiement en cliquant sur le bouton ci-dessous : Mettre à jour le paiement Merci de faire partie de la famille Disney+ ! © 2024 Disney. Tous droits réservés xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx cODES HTML des hackers xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Return-Path : <bounces+44899879-13ea-ele.lemoine=laposte.net@em7529.leje.com.br> Received : from mlpnf0110.laposte.net (mlpnf0110.sys.meshcore.net [10.94.128.89]) by mlpnb0108 with LMTPA; Thu, 17 Oct 2024 06:15:51 +0200 X-Cyrus-Session-Id : cyrus-160254-1729138551-1-11254384398650575552 X-Sieve : CMU Sieve 3.0 ARC-Seal : i=1; a=rsa-sha256; d=laposte.net; s=lpn-wlmd; t=1729138551; cv=none; b=Fh00zRMpES4ADozbbqQvYdgiGcyYDXTxpyfUfSEoFSRo2s56cU4EzOS04FCVK0BC/CwmdyAQ13f N4LGaPrfHILxiKOy3F9l7uvC04JRCRDIwmrxZ2C5iAsrqcjZNy9VQB/kFiIdZKlH+p+5yY5bjr51 T8JmyUkVldLAuXRWuZ3glX3WJfH7xEuxHFVUkpaRt5t6dZGvB/nzGhHB0DplX1vFG4QwcvNCxmnL t+udOwwuYT9nCrzw2wbwCZhoNn3HVXeXwUeD620FTEzwNrgVKS7RYwyHTpbBmDmV3VV+LJnlEguR YCCBjZY8+6leRI0gjrSQ6frOIMB1XkKXbXGeHPw== ARC-Message-Signature : i=1; a=rsa-sha256; c=relaxed/relaxed; d=laposte.net; s=lpn-wlmd; t=1729138551; h=DKIM-Signature:Date:From:Subject:To; bh=zNM50sE21 VlpYV0GtSGVV3gLmG/rQxWG6nblI3EFNZ0=; b=NbeI3asSSzHHRLpeoPVzCVjsqvSXjdOs2QxdZ YxgfjTSkPrijrNQ/qqAkeKwzzoPujVOHRHqm6J49/kAfWrlLVRDW6go4/Bwx3dfIP5yTMvAHEIt+ VfgCxHBpV2eyKyHmQiyyb62bGDZjfO/UFLLjtYB/x6TfaaM1WUdDQ9nXJuo+JqiQs21uc9J/1s7N LXLCzl2ZjWPlFMiCHsDJSBDFtp3bCEuPfyjn/IxDtZt5IYi/igjgg1VnhztU8KAocWAA0eaufIrZ pjYGBYm96u13xNqNj+xvTJNdEhdvInXmYyjpbEQjiIH8JDQMjBih4SHMKoBrKRbTu7qAsxQcSTHN w== ARC-Authentication-Results : i=1; laposte.net; spf=pass smtp.helo=s.xtrwnvrh.outbound-mail.sendgrid.net smtp.mailfrom=bounces+44899879-13ea-ele.lemoine=laposte.net@em7529.leje.com.br; dkim=pass reason="good signature" header.b=C2EhXn header.d=leje.com.br header.s=s1; dmarc=pass reason="SPF is aligned, DKIM is aligned"; arc=none smtp.remote-ip=167.89.40.80; bimi=none X-mail-filterd : {"version":"1.8.0","queueID":"4XTZJR5Rvqz1nrwf","contextId": "642fdf0d-1730-435a-8af4-9e3f89acc2f4"} X-ppbforward : {"queueID":"4XTZJR5Rvqz1nrwf","server":"mlpnf0110"} Received : from outgoing-mail.laposte.net (localhost.localdomain [127.0.0.1]) by mlpnf0110.laposte.net (SMTP Server) with ESMTP id 4XTZJR5Rvqz1nrwf for <lpn000000000000000018870443@back01-mail02-04.lpn.svc.meshcore.net>; Thu, 17 Oct 2024 06:15:51 +0200 (CEST) X-mail-filterd : {"version":"1.8.0","queueID":"4XTZJR2NG0z1nrwM","contextId": "2a497a51-eab2-4b65-9971-b6e75406d1d0"} X-lpn-mailing : LEGIT X-lpn-spamrating : 44 X-lpn-spamlevel : not-spam Authentication-Results : laposte.net;

Repeated attempts to exploit known vulnerabilities in the server operating system or applications.

The malicious IP engaged in distributed denial of service (DDoS) attacks, exhausting server resources and disrupting SSH services.

This IP belongs to Cardinal Health.

Bonjour Webmasters de Signal Spam, de la Société Générale, et Sociétés Kundenserver.de, et IONOS.com Et celà continue en 2024, après Mars 2017 ! comme toute l’année 2016, 2015, 2014 et comme toute l’année 2013 et toute l’année 2012 ?! Ce Jeudi 17 Octobre 2024 après 11h12 ( toujours les nuits, ou tôt les matinées, avant les ouvertures de Bureaux et Administrations en France, méthodes d’escrocs et de faux-culs ) j'ai reçu sur ma boite email ce nouvel email ci-dessous d’escroquerie Bancaire avec faux contenu SOCIETE GENERALE et venant de l'adresse email bidon ou usurpée: From : support <infos@notredame-saintpierreeglise.fr> L’adresse IP du PC ou du smartphone de ces hackers fous en cause est : 212.227.126.131 gérée par abuse@ionos.com Received : from mout.kundenserver.de (mout.kundenserver.de [212.227.126.131]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mlpnf0115.laposte.net (SMTP Server) with ESMTPS id 4XThtR1hlJzvPrD for <@laposte.net>; Thu, 17 Oct 2024 11:12:15 +0200 (CEST) DKIM-Signature : v=1; a=rsa-sha256; c=relaxed/relaxed; d=notredame-saintpierreeglise.fr; s=s1-ionos; t=1729156334; x=1729761134; i=infos@notredame-saintpierreeglise.fr; bh=vqfQMG4TepHYHgY2ueTRTjAUpb+iVBqR1my85iyXeBc=; h=X-UI-Sender-Class:From:Date:Subject:Message-Id:To:MIME-Version: Content-Type:cc:content-transfer-encoding:content-type:date:from: message-id:mime-version:reply-to:subject:to; utilisant encore une adresse mail de messagerie des serveurs IP de la Société Kundenserver.de IP Lookup Details: IP Information - 212.227.126.131 Host name: mout.kundenserver.de Country: Germany Country Code: DE Region: City: Latitude: 51.2993 Longitude: 9.491 C'est visiblement et clairement une tentative d’escroquerie ! Je ne suis pas prêt d’avoir un Compte à la SOCIETE GENERALE, ni de gérer mes comptes par Internet ! Ci-dessous cet email de phishing avec ces en-têtes complets : Attention phishing clients-sg-infos ? • Aujourd'hui, à 11:12 (il y a une heure) 43Ko • • • S De : support • A : Moi • Cet email a été détecté comme potentiellement dangereux. Les liens ont été désactivés. Cher(e) Client(e) Nous vous avons récemment contacté(e) afin d'obtenir plus d'informations de votre part Relative à l'actualision de vos infos. Nous serons contraints de restreindre votre compte. Veuillez donc suivre sur : Merci pour votre confiance. Votre Directeur d'agence *********************** CODES HTML des hackers **************************************** Return-Path : <infos@notredame-saintpierreeglise.fr> Received : from mlpnf0115.laposte.net (mlpnf0115.sys.meshcore.net [10.94.128.94]) by mlpnb0108 with LMTPA; Thu, 17 Oct 2024 11:12:15 +0200 X-Cyrus-Session-Id : cyrus-58633-1729156335-1-532870719870550561 X-Sieve : CMU Sieve 3.0 ARC-Seal : i=1; a=rsa-sha256; d=laposte.net; s=lpn-wlmd; t=1729156335; cv=none; b=k0Hurwi5irBxOJA6IJN6WzFmxuHEFEoImAp6dBIPeAnDO1sTGSZQoU+77PkmGHvbyiI2T44DyJ9 bmnYxTHTeQWaougwMQLo0MOilPTKUfZIgIKCotZPDlo6KxaijGr2Wzl/q8/RO1lrd0VNWQoadMs9 EElNVw2pJPPqGQB+0TaVoRBX6szVkdLJJ/6Wd4Bv+xm4DX1rQQo371/0YcJg1t8LnWAwG9+yvWUI EyNu5CwYgWg00yy8z+Pq9+kzO2d7OBQW0kO1kNsI93u8Hm4HDXAA1ZVmNe3uJDjblU6C9PAzyIfQ 8K5TmW36iIz0jtY9KgV/Kohm8f7MiGyA1lWRLzQ== ARC-Message-Signature : i=1; a=rsa-sha256; c=relaxed/relaxed; d=laposte.net; s=lpn-wlmd; t=1729156335; h=DKIM-Signature:From:Date:Subject:To; bh=vqfQMG4Te pHYHgY2ueTRTjAUpb+iVBqR1my85iyXeBc=; b=dokSYs76/zrZfL7jYdipEJZGHgAcP1q3F+z2J Nfwuz6BYg/ALMsRMAC3aW0zVkqDvBXnYInYJ2qc84Ud/YuziZuHGhCwXmsc5nZ6n3/8VSjTTCQuG Mb9iEbR/WRXeKg9BVZgmUbwKPNyQjRH/BzP8y84cx41L30RImnxF6U2Kbh/EcXRzom7axfUFJsDt JyzFM5EHzjh3U3gJ+7fpLrD2Ec0rIqy4fRqnEnjR3/1LsHDFsq0/6ertSSABh4AbmGqlSC3Q39+F QCGquUsCzOnYD8lye/0ZnCJdeBUixg4MD/h8L0yOTiS4/nXk4FsEzZ3u6ESoC8v+y/7KX0zmf771 Q== ARC-Authentication-Results : i=1; laposte.net; spf=pass smtp.helo=mout.kundenserver.de smtp.mailfrom=infos@notredame-saintpierreeglise.fr; dkim=pass reason="good signature" header.b=Lf81X1 header.d=notredame-saintpierreeglise.fr header.i=infos@notredame-saintpierreeglise.fr header.s=s1-ionos;

The IP address attempted delivering malicious packets to disrupt the system's operation.

The IP attempted to download emails from the POP3 server without authorization.

Multiple requests with the same Max-Forwards header.

POST /xmlrpc.php: Could indicate an attempt at exploiting the WordPress xmlrpc.php file, often used for brute forcing.

This IP belongs to Walgreens Boots Alliance.

Unusual TCP/IP Headers: Logs reflect HTTP requests with unusual or altered TCP/IP headers, an attempt to confuse or slip through security measures.

The malicious IP was reported for attempting unauthorized logins to the SIP server, potentially to gain control over voice communication.

Attempts to access the server using stolen or leaked credentials.

This IP belongs to New York Life Insurance.

It tried to execute dictionary attacks on our Mail service causing potential delays.

Server Misconfiguration Exploitation: Logs illustrating attempts at exploiting known server misconfigurations.