[FRsAG] Brute force distribué sur Drupal

Nathan delhaye contact at nathan-delhaye.fr
Lun 19 Sep 19:20:35 CEST 2016


Hello,

@work (client final), c'est monaie courrant. On se tape entre 2 et 3% de
traffic de scan. Comme c'est notre appli et notre infra, j'ai pas trop de
scrupules : tous les ranges de serveurs que je vois au moins une fois se
pointer avec un pattern de scan joomla/drupal/wordpress passent à la
poubelle. Un client n'as pas a se pointer avec une IP de ces ranges. Et le
discours "blablabla... VPN... blabla TOR...blabla... vie privée toussa"
n'as pas prise sur moi :)

Donc j'ai rapidement blacklisté les ranges Online.net, AWS et surtout,
surtout mes copains de chez Cloudradium ( www.1ue.com ) :

172.247.0.0/16
23.224.0.0/15
192.151.192.0/18

A ma grande surprise (mais c'est peut être du au business) j'ai rien de
très violent venant de chez OVH en scan HTTP.

A+



Le 19 septembre 2016 à 18:26, Manuel Guesdon <ml+frsag at oxymium.net> a écrit
:

> On Mon, 19 Sep 2016 18:04:55 +0200
> Ambroise TERRIER <contact at at49.fr> wrote:
> >| Vous avez comparé les IP avec celle de sortie de Tor?
>
> Oui, grossierement mais pas de matches.
>
> Par contre j'ai pas mal de matches par rapport à la liste
> https://greensnow.co/ (brute-force Wordpress et/ou Joomla) et quelques
> uns sur
> https://www.virustotal.com et http://www.ip-finder.me.
>
> Ca ressemble à un botnet de machines infectées/piratées. Plutôt des
> serveurs
> d'ailleurs que des PC enduser d'après les reverses des IPs.
>
> Manuel
>
>
>
> --
> ______________________________________________________________________
> Manuel Guesdon - OXYMIUM
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>



-- 
Nathan Delhaye
06 69 27 64 25
0805 696 494
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20160919/a5b3454a/attachment.html>


Plus d'informations sur la liste de diffusion FRsAG