Hello, @work (client final), c'est monaie courrant. On se tape entre 2 et 3% de traffic de scan. Comme c'est notre appli et notre infra, j'ai pas trop de scrupules : tous les ranges de serveurs que je vois au moins une fois se pointer avec un pattern de scan joomla/drupal/wordpress passent à la poubelle. Un client n'as pas a se pointer avec une IP de ces ranges. Et le discours "blablabla... VPN... blabla TOR...blabla... vie privée toussa" n'as pas prise sur moi :)
Donc j'ai rapidement blacklisté les ranges Online.net, AWS et surtout, surtout mes copains de chez Cloudradium ( www.1ue.com ) : 172.247.0.0/16 23.224.0.0/15 192.151.192.0/18 A ma grande surprise (mais c'est peut être du au business) j'ai rien de très violent venant de chez OVH en scan HTTP. A+ Le 19 septembre 2016 à 18:26, Manuel Guesdon <ml+fr...@oxymium.net> a écrit : > On Mon, 19 Sep 2016 18:04:55 +0200 > Ambroise TERRIER <cont...@at49.fr> wrote: > >| Vous avez comparé les IP avec celle de sortie de Tor? > > Oui, grossierement mais pas de matches. > > Par contre j'ai pas mal de matches par rapport à la liste > https://greensnow.co/ (brute-force Wordpress et/ou Joomla) et quelques > uns sur > https://www.virustotal.com et http://www.ip-finder.me. > > Ca ressemble à un botnet de machines infectées/piratées. Plutôt des > serveurs > d'ailleurs que des PC enduser d'après les reverses des IPs. > > Manuel > > > > -- > ______________________________________________________________________ > Manuel Guesdon - OXYMIUM > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > -- Nathan Delhaye 06 69 27 64 25 0805 696 494
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/