On Mon, 19 Sep 2016 18:04:55 +0200 Ambroise TERRIER contact@at49.fr wrote:
| Vous avez comparé les IP avec celle de sortie de Tor?
Oui, grossierement mais pas de matches.
Par contre j'ai pas mal de matches par rapport à la liste https://greensnow.co/ (brute-force Wordpress et/ou Joomla) et quelques uns sur https://www.virustotal.com et http://www.ip-finder.me.
Ca ressemble à un botnet de machines infectées/piratées. Plutôt des serveurs d'ailleurs que des PC enduser d'après les reverses des IPs.
Manuel
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM
Hello,
@work (client final), c'est monaie courrant. On se tape entre 2 et 3% de traffic de scan. Comme c'est notre appli et notre infra, j'ai pas trop de scrupules : tous les ranges de serveurs que je vois au moins une fois se pointer avec un pattern de scan joomla/drupal/wordpress passent à la poubelle. Un client n'as pas a se pointer avec une IP de ces ranges. Et le discours "blablabla... VPN... blabla TOR...blabla... vie privée toussa" n'as pas prise sur moi :)
Donc j'ai rapidement blacklisté les ranges Online.net, AWS et surtout, surtout mes copains de chez Cloudradium ( www.1ue.com ) :
172.247.0.0/16 23.224.0.0/15 192.151.192.0/18
A ma grande surprise (mais c'est peut être du au business) j'ai rien de très violent venant de chez OVH en scan HTTP.
A+
Le 19 septembre 2016 à 18:26, Manuel Guesdon ml+frsag@oxymium.net a écrit :
On Mon, 19 Sep 2016 18:04:55 +0200 Ambroise TERRIER contact@at49.fr wrote:
| Vous avez comparé les IP avec celle de sortie de Tor?
Oui, grossierement mais pas de matches.
Par contre j'ai pas mal de matches par rapport à la liste https://greensnow.co/ (brute-force Wordpress et/ou Joomla) et quelques uns sur https://www.virustotal.com et http://www.ip-finder.me.
Ca ressemble à un botnet de machines infectées/piratées. Plutôt des serveurs d'ailleurs que des PC enduser d'après les reverses des IPs.
Manuel
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On Mon, 19 Sep 2016 19:20:35 +0200 Nathan delhaye contact@nathan-delhaye.fr wrote:
| @work (client final), c'est monaie courrant. On se tape entre 2 et 3% de | traffic de scan. Comme c'est notre appli et notre infra, j'ai pas trop de | scrupules : tous les ranges de serveurs que je vois au moins une fois se | pointer avec un pattern de scan joomla/drupal/wordpress passent à la | poubelle. Un client n'as pas a se pointer avec une IP de ces ranges. Et le | discours "blablabla... VPN... blabla TOR...blabla... vie privée toussa" | n'as pas prise sur moi :)
Oui, j'en vois passer des tonnes aussi mais là certains éléments étaient particuliers par rapport au tout venant: - nombre de hosts concertés - pattern des mots de passs/comptes en relation avec l'activité du client Et en plus je ne sais pas trop ce qu'ils tentent: le brute-force est plutot soft en terme de nombre de requetes/heure et je ne vois pas comment ils peuvent vraiment espérer un résultat.
Manuel
-- ______________________________________________________________________ Manuel Guesdon - OXYMIUM
-
Manuel Guesdon -
Nathan delhaye