Hello,

@work (client final), c'est monaie courrant. On se tape entre 2 et 3% de traffic de scan. Comme c'est notre appli et notre infra, j'ai pas trop de scrupules : tous les ranges de serveurs que je vois au moins une fois se pointer avec un pattern de scan joomla/drupal/wordpress passent à la poubelle. Un client n'as pas a se pointer avec une IP de ces ranges. Et le discours "blablabla... VPN... blabla TOR...blabla... vie privée toussa" n'as pas prise sur moi :)

Donc j'ai rapidement blacklisté les ranges Online.net, AWS et surtout, surtout mes copains de chez Cloudradium ( www.1ue.com ) :

172.247.0.0/16
23.224.0.0/15
192.151.192.0/18

A ma grande surprise (mais c'est peut être du au business) j'ai rien de très violent venant de chez OVH en scan HTTP.

A+



Le 19 septembre 2016 à 18:26, Manuel Guesdon <ml+frsag@oxymium.net> a écrit :
On Mon, 19 Sep 2016 18:04:55 +0200
Ambroise TERRIER <contact@at49.fr> wrote:
>| Vous avez comparé les IP avec celle de sortie de Tor?

Oui, grossierement mais pas de matches.

Par contre j'ai pas mal de matches par rapport à la liste
https://greensnow.co/ (brute-force Wordpress et/ou Joomla) et quelques uns sur
https://www.virustotal.com et http://www.ip-finder.me.

Ca ressemble à un botnet de machines infectées/piratées. Plutôt des serveurs
d'ailleurs que des PC enduser d'après les reverses des IPs.

Manuel



--
______________________________________________________________________
Manuel Guesdon - OXYMIUM
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/



--
Nathan Delhaye
06 69 27 64 25
0805 696 494