
<div dir="ltr"><div class="gmail_default" style="font-family:garamond,times new roman,serif;font-size:small">Hi all, <br></div><div class="gmail_default" style="font-family:garamond,times new roman,serif;font-size:small"><br></div><div class="gmail_default" style="font-family:garamond,times new roman,serif;font-size:small">I guess what Jorg is suggesting is that beyond this particular incident, a preventive testing/mitigation methodology would make for a great NANOG2022 presentation/workshop.</div><div class="gmail_default" style="font-family:garamond,times new roman,serif;font-size:small"><br></div><div class="gmail_default" style="font-family:garamond,times new roman,serif;font-size:small">Cheers, <br></div><div class="gmail_default" style="font-family:garamond,times new roman,serif;font-size:small">Dora<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Dec 13, 2021 at 2:33 PM Jean St-Laurent via NANOG <<a href="mailto:nanog@nanog.org">nanog@nanog.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">I agree,<br>

<br>

As an example that back what you're saying, I pasted the ip provided by Jörg in my browser.<br>

<br>

<a href="http://45.83.64.1/" rel="noreferrer" target="_blank">http://45.83.64.1/</a><br>

<br>

Here is the html page returned.<br>

<br>

<html><br>

...<br>

Research Scanning Project<br>

<br>

This is a scanner of a research scanning project.<br>

<br>

If you want to exclude your IPs from scans, please send an e-mail to <a href="mailto:exclude@alphastrike.io" target="_blank">exclude@alphastrike.io</a>.<br>

<br>

Thank you for your appreciation!<br>

...<br>

</html><br>

<br>

This ip scanner is in Germany and it looks legit, but a better investigation is recommended.<br>

<br>

The second host provided looks more suspicious.<br>

<br>

<a href="http://blah.c6rip779l9hq8g7hluigcg5131oyyyt8e.interactsh.com" rel="noreferrer" target="_blank">blah.c6rip779l9hq8g7hluigcg5131oyyyt8e.interactsh.com</a> resolve to<br>

104.248.51.21 which is hosted on DigitalOcean.<br>

<br>

Here is the html output:<br>

<br>

<html><br>

...<br>

Interactsh Server<br>

Interactsh is an open-source solution for out-of-band data extraction. It is a tool designed to detect bugs that cause external interactions. These bugs include, Blind SQLi, Blind CMDi, SSRF, etc.<br>

<br>

If you find communications or exchanges with the <a href="http://interactsh.com" rel="noreferrer" target="_blank">interactsh.com</a> server in your logs, it is possible that someone has been testing your applications.<br>

<br>

You should review the time when these interactions were initiated to identify the person responsible for this testing.<br>

<br>

...<br>

</html><br>

<br>

First, it's important to gain visibility and filter the goods from the bads.<br>

<br>

The first ip looks legit. The second could be reported to DigitalOcean for investigation. They usually investigate very fast.<br>

<br>

You can check for weird network flows patterns. You can also look for that suspicious html file that is crawling on http in clear text on your gears.<br>

<br>

At ISP level, visibility is a must and patterns will clearly become easy to identify.<br>

<br>

I agree with Karl that perfection is enemy of good.<br>

<br>

Jean<br>

<br>

-----Original Message-----<br>

From: NANOG <nanog-bounces+jean=<a href="mailto:ddostest.me@nanog.org" target="_blank">ddostest.me@nanog.org</a>> On Behalf Of Karl Auer<br>

Sent: December 13, 2021 7:55 AM<br>

To: NANOG List <<a href="mailto:nanog@nanog.org" target="_blank">nanog@nanog.org</a>><br>

Subject: Re: Log4j mitigation<br>

<br>

On Mon, 2021-12-13 at 06:35 -0600, Joe Greco wrote:<br>

> Just because there are other sources of fatalities, doesn't mean you <br>

> can't check for the quick obvious stuff.<br>

<br>

Indeed.<br>

<br>

One check, even an inadequate one, is better than no checks at all. And over time you can add more checks or improve the ones you have.<br>

<br>

Don't let "perfect" be the enemy of "good".<br>

<br>

Regards, K.<br>

<br>

<br>

--<br>

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>

Karl Auer (<a href="mailto:kauer@biplane.com.au" target="_blank">kauer@biplane.com.au</a>)<br>

<a href="http://www.biplane.com.au/kauer" rel="noreferrer" target="_blank">http://www.biplane.com.au/kauer</a><br>

<br>

GPG fingerprint: 61A0 99A9 8823 3A75 871E 5D90 BADB B237 260C 9C58 Old fingerprint: 2561 E9EC D868 E73C 8AF1 49CF EE50 4B1D CCA1 5170<br>

<br>

<br>

<br>

<br>

</blockquote></div>