Hello,
@work (client final), c'est monaie courrant. On se tape entre 2 et 3% de traffic de scan. Comme c'est notre appli et notre infra, j'ai pas trop de scrupules : tous les ranges de serveurs que je vois au moins une fois se pointer avec un pattern de scan joomla/drupal/wordpress passent à la poubelle. Un client n'as pas a se pointer avec une IP de ces ranges. Et le discours "blablabla... VPN... blabla TOR...blabla... vie privée toussa" n'as pas prise sur moi :)
Donc j'ai rapidement blacklisté les ranges Online.net, AWS et surtout, surtout mes copains de chez Cloudradium ( www.1ue.com ) :
172.247.0.0/16 23.224.0.0/15 192.151.192.0/18
A ma grande surprise (mais c'est peut être du au business) j'ai rien de très violent venant de chez OVH en scan HTTP.
A+
Le 19 septembre 2016 à 18:26, Manuel Guesdon ml+frsag@oxymium.net a écrit :
On Mon, 19 Sep 2016 18:04:55 +0200 Ambroise TERRIER contact@at49.fr wrote:
| Vous avez comparé les IP avec celle de sortie de Tor?
Oui, grossierement mais pas de matches.
Par contre j'ai pas mal de matches par rapport à la liste https://greensnow.co/ (brute-force Wordpress et/ou Joomla) et quelques uns sur https://www.virustotal.com et http://www.ip-finder.me.
Ca ressemble à un botnet de machines infectées/piratées. Plutôt des serveurs d'ailleurs que des PC enduser d'après les reverses des IPs.
Manuel
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/