It persistently tried to exploit weaknesses in the SSH communication encryption.

It attempted to use the FTP server to distribute zombie network tools.

The IP was recorded making persistent attempts to crack our encryption.

Code Injection: Usage of standard codes (like Base64) to obscure attack payloads or commands.

The IP attempted to login to the SASL server with an invalid username.

The IP attempted to tamper with our Ad network, conducting fraudulent activities.

FOR YOUR INFORMATIONS and ACTIONS against these Bastards HACKERS USING your servers IP and accounts and mails boxes ! Pour votre Information et Actions contre ces hackers utilisant vos serveurs IP, les LOGOS du GOUVERNEMENT, comptes et boites mails ! Bonjour Webmasters de AMENDES.GOUV.FR, Signal Spam, La Poste.net, Et celà continue encore et toujours en Septembre 2024 ! Recu ce Jeudi 12 Septembre 2024 après 23h53 (mails escrocs envoyés toujours les nuits, ou week-ends, avant ou après les horaires des Bureaux et Administrations en France, méthodes de faux-culs et d’escrocs ) j'ai reçu sur ma boite email ce mail escroc ci-dessous avec faux contenu AMENDES.GOUV.FR et venant de l'adresse email bidon: From: <siees@face.com> Mais vraie adresse mail pour répondre aux hackers: yea@yes.com Received : from [139.64.245.156] (37-188-186-217.red.o2.cz [37.188.186.217]) by mlpnf0111.laposte.net (SMTP Server) with ESMTP id 4X4WQv2JQYzTgCl for <@laposte.net>; Thu, 12 Sep 2024 23:53:26 +0200 (CEST) Content-Type : text/html; charset="iso-8859-1" MIME-Version : 1.0 Content-Transfer-Encoding : quoted-printable Content-Description : Mail message body Subject : Amendes.gouv.fr To : @laposte.net From : Majoration d'une contravention <siees@face.com> Date : Thu, 12 Sep 2024 17:53:22 -0400 Reply-To : yea@yes.com X-Mailer : Seba Bat! Sensitivity : Personal Return-receipt-to : yea@yes.com Disposition-notification-to : yea@yes.com Les adresses IP du PC ou smartphone de ce(s) hacker(s) fou(s) en cause sont: 37.188.186.217 en République Tchèque IP Lookup Details: IP Information - 37.188.186.217 Host name: 37-188-186-217.red.o2.cz Country: Czech Republic Country Code: CZ Region: 52 City: Prague Latitude: 50.0833 Longitude: 14.4667 Gérée par : abuse@ripe.net et hostmaster@ripe.net C'est visiblement et clairement une tentative de phishing et fraude ! Ci-dessous cet email d’escroquerie avec ces en-têtes complets : Amendes.gouv.fr • jeudi 12 Septembre, 23:53 (il y a 9 heures) 5Ko • • • MC De : Majoration d'une contravention • A : Moi • Cet email a été détecté comme potentiellement dangereux. Les liens ont été désactivés. __Réactiver les liens__ Bonjour, Nous vous rappelons que cette contravention a été émise en raison de non-règlement d'une place de stationnement respecté par le conducteur du véhicule. Veuillez noter que le non-paiement de cette amende avant le Samedi 14 Septembre. Entrainera une majoration à hauteur de 105 euros. Il est donc important de régulariser cette sitµation dans les plus brefs délais. Payer l'amende maintenant Le compte Amendes, c'est aussi : Un espace personnel sécurisé pour consulter et gérer vos contraventions. Un historique de vos paiements et de vos contestations. Une authentification simple et sécurisée grâce à France connecte. © L'équipe d'Amendes *********** Codes HTML des hackers ci-dessous ************************** Return-Path : <siees@face.com> Received : from mlpnf0111.laposte.net (mlpnf0111.sys.meshcore.net [10.94.128.90]) by mlpnb0108 with LMTPA; Thu, 12 Sep 2024 23:53:28 +0200 X-Cyrus-Session-Id : cyrus-129367-1726178008-1-6364676158678970367 X-Sieve : CMU Sieve 3.0 ARC-Seal : i=1; a=rsa-sha256; d=laposte.net; s=lpn-wlmd; t=1726178008; cv=none; b=nNSHRSK4Xa3cUKSLRFsy2D1W+tYlB0YsqkkSWyNjR5Lld16HS16uA9rjqBXVsAwpC8F9oJgXkIR mauoRgjGvcHcNMtX3Bbu0UwfqoLnmAAhRs40A9+jDPjh1Kkhmw1Ibi3PXlM5xpEuJvsQC44MjeeQ 6uLxmERChaDJyePoUNagjE26ylZdMaEXu2Q6c8996yTqS2GlR5PSV35Q1kKAlbYhMV0nUjCNZ/Hf +VbbRgqcNLAjuDKq2el5vRdXI/CADI80B4jkHHatryPJqD3HE4dWGtUNKhKTWfvwRRFONeD9q8c8 yKZ9/ArmFQblEk8RoWp5Z8AcoqUs9Xc+z4kIOcw== ARC-Message-Signature : i=1; a=rsa-sha256; c=relaxed/relaxed; d=laposte.net; s=lpn-wlmd; t=1726178008; h=Subject:To:From:Date:Reply-To; bh=LS4F+ggsqhMM2FS 40jDh0EG6BAxow7mX+hu1t3bZ4vg=; b=pVhjINMwdX5d8SBBdUpw/bf6z4c8w8mXYiYpvIOC6at ldNjEmSfXjH6V7VARhKewAXVx3dPRmGKUFGKXwe934nLi2FPpsc44O8sPQUvCEDU5tkH3mMI8lli o7KxHBjjLqwmeaj22t/5tHm9WrP0JSSdvLoqLYIdUjLS/l4OUHYJW4Y4yDJUCB5cWEcy0yaK4q0Z 4RxDL10yddTGtFZsFSC81jdsFKn607UJjcSymvHJBBxUSZgA49fKbdxQBY2gu3Rsga4bGjMva+C3 Z8d6wNsGZuTSUsaD84VXM0GYKZb2Lbgnvbc/owGZl4Bqf9mmFGfh8kR2uJKXTiDdvpudWYg== ARC-Authentication-Results : i=1; laposte.net; spf=none smtp.helo=[139.64.245.156] smtp.mailfrom=siees@face.com; dkim=none; dmarc=none reason="No policy found"; arc=none smtp.remote-ip=37.188.186.217; bimi=skipped reason="non-pass DMARC" X-mail-filterd : {"version":"1.8.0","queueID":"4X4WQw0JqJzTgCg","contextId": "cac4e748-d7f6-4909-8ba1-3fad421546d7"} X-ppbforward : {"queueID":"4X4WQw0JqJzTgCg","server":"mlpnf0111"} Received : from outgoing-mail.laposte.net (localhost.localdomain [127.0.0.1]) by mlpnf0111.laposte.net (SMTP Server) with ESMTP id 4X4WQw0JqJzTgCg for <lpn000000000000000018870443@back01-mail02-04.lpn.svc.meshcore.net>; Thu, 12 Sep 2024 23:53:28 +0200 (CEST) X-mail-filterd : {"version":"1.8.0","queueID":"4X4WQv2JQYzTgCl","contextId": "b386a990-d5c2-4abd-b91f-9186c8c7c509"} X-lpn-mailing : LEGIT X-lpn-spamrating : 57 X-lpn-spamlevel : not-spam Authentication-Results : laposte.net; spf=none smtp.mailfrom=siees@face.com smtp.helo=[139.64.245.156]; dkim=none; dmarc=none reason="No policy found"; arc=none smtp.remote-ip=37.188.186.217; bimi=skipped reason="non-pass DMARC" X-lpn-spamcause : OK, (10)(0000)gggruggvucftvghtrhhoucdtuddrgeeftddrudejgedgtdegucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecunfetrffquffvgfdpggftfghnshhusghstghrihgsvgenuceurghilhhouhhtmecufedtudenucgopfhokfffucdluddtmdenucfjughrpegtggfguffvhfffrhfoiffpsehhqhdttdfitddunecuhfhrohhmpeforghjohhrrghtihhonhcuugdkuhhnvgcutghonhhtrhgrvhgvnhhtihhonhcuoehsihgvvghssehfrggtvgdrtghomheqnecuggftrfgrthhtvghrnhepueehleektedugfekueehkeekjeduledvueelhfeftdekleektdetjedvkefgieeunecuffhomhgrihhnpegthhgvvhgrlhhivghrthhhrghirdgtohhmpdgrmhgvnhguvghsrdhgohhuvhdrfhhrnecukfhppeefjedrudekkedrudekiedrvddujeenucevlhhushhtvghrufhiiigvpedunecurfgrrhgrmhepihhnvghtpeefjedrudekkedrudekiedrvddujedphhgvlhhopegludefledrieegrddvgeehrdduheeingdpmhgrihhlfhhrohhmpehsihgvvghssehfrggtvgdrtghomhdpnhgspghrtghpthhtohepuddprhgtphhtthhopegvlhgvrdhlvghmohhinhgvsehlrghpohhsthgvrdhnvghtpdhsphhfpehnohhnvgdpughkihhmpehnohhnvgdpughmrghrtgepnhhonhgvpdhrvghvkffrpeefjedqudekkedqudekiedqvddujedrrhgvugdrohdvrdgtiidpghgvohfkrfepvegk Received : from [139.64.245.156] (37-188-186-217.red.o2.cz [37.188.186.217]) by mlpnf0111.laposte.net (SMTP Server) with ESMTP id 4X4WQv2JQYzTgCl

Login attempts at unusual times (e.g., in the middle of the night).

It performed botnet operations, controlling a group of “zombie” computers to amplify its DDoS attacks.

GET /index.php?param=: Attempting a cross-site scripting (XSS) attack.

The identified IP address was involved in planting backdoor programs that give excessive control over infected systems.

The IP was involved in a FTP Injection attack, exploiting vulnerabilities in the FTP server to execute unauthorized commands.

FOR YOUR INFORMATIONS and ACTIONS against these Bastards HACKERS USING your servers IP and accounts and mails boxes ! Pour votre Information et Actions contre ces hackers utilisant vos serveurs IP, les LOGOS du GOUVERNEMENT, comptes et boites mails ! Bonjour Webmasters de AMENDES.GOUV.FR, Signal Spam, La Poste.net, Et celà continue encore et toujours en Septembre 2024 ! Ce Jeudi 12 Septembre 2024 après 23h53 (mails escrocs envoyés toujours les nuits, ou week-ends, avant ou après les horaires des Bureaux et Administrations en France, méthodes de faux-culs et d’escrocs ) j'ai reçu sur ma boite email ce nouveau mail escroc ci-dessous avec faux contenu AMENDES.GOUV.FR et venant de l'adresse email bidon: From: <siees@face.com> Mais vraie adresse mail pour répondre aux hackers: yea@yes.com Received : from [139.64.245.156] (37-188-186-217.red.o2.cz [37.188.186.217]) by mlpnf0111.laposte.net (SMTP Server) with ESMTP id 4X4WQv2JQYzTgCl for <@laposte.net>; Thu, 12 Sep 2024 23:53:26 +0200 (CEST) Content-Type : text/html; charset="iso-8859-1" MIME-Version : 1.0 Content-Transfer-Encoding : quoted-printable Content-Description : Mail message body Subject : Amendes.gouv.fr To : @laposte.net From : Majoration d'une contravention <siees@face.com> Date : Thu, 12 Sep 2024 17:53:22 -0400 Reply-To : yea@yes.com X-Mailer : Seba Bat! Sensitivity : Personal Return-receipt-to : yea@yes.com Disposition-notification-to : yea@yes.com Les adresses IP du PC ou smartphone de ce(s) hacker(s) fou(s) en cause sont: 37.188.186.217 en République Tchèque Gérée par : abuse@ripe.net et hostmaster@ripe.net Et 139.64.245.156 aux USA gérée par: abuse@cloudatcost.com IP Lookup Details: IP Information - 37.188.186.217 Host name: 37-188-186-217.red.o2.cz Country: Czech Republic Country Code: CZ Region: 52 City: Prague Latitude: 50.0833 Longitude: 14.4667 IP Lookup Details: IP Information - 139.64.245.156 Host name: c999963735-cloudpro-191660209.cloudatcost.com Country: United States Country Code: US Region: WY City: Cheyenne Latitude: 41.1034 Longitude: -104.9059 Gérée par : abuse@ripe.net et hostmaster@ripe.net C'est visiblement et clairement une tentative de phishing et fraude !

The IP attempted to change file permissions on the SSH server.

This IP belongs to Tech Data.

The IP was flagged for attempting dictionary attacks on our user accounts.

It attempted to send emails with deceptive subject lines from the Postfix server.

HTTP Request with Large Content-Length: This could potentially indicate a buffer overflow attack where an attacker tries to crash the system by sending more data than it can handle.

It was responsible for an unusual increase in server CPU usage.

It attempted to perform a SSDP amplification attack on the SSH server.

It made multiple requests with the same X-Csrf-Token header.

This IP belongs to General Electric.

This IP belongs to Citigroup.

The IP attempted fileless malware attacks, directly injecting malicious script into server memory.

Attempts to use automated scripts or tools for password cracking.