Dernières News
Nuage de Tags
Archives
RSS des articles
Souscrire par email
L'adresse IP mystérieuse ...
Par Ludovic Toinel le mardi 11 septembre 2007, 23:01 - Sécurité - Lien permanent
En consultant les statistiques de mon blog avec Awstats, un analyseur de log Apache, je me suis rendu compte qu'une machine a fait 8000 requêtes HTTP vers mon serveur depuis le début du mois et n'a consommé que 1.68 Mo de bande passante. Étrange non ?
Cette machine est : 89.84.38.47
Après un scan rapide de la machine avec Nmap, il s'agit d'une machine avec de faux services : un faux serveur HTTP, un faux serveur FTP, un faux serveur SSH ....
PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp filtered smtp 80/tcp open http
Après une analyse rapide de mes logs Apache, cette machine lit le flux RSS de mon blog toute les minutes 
89.84.38.47 - - 07/Sep/2007:11:39:54 +0200 "GET /feed/rss.xml HTTP/1.1" 200 44506 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MSOffice 12)"
Au moins elle est sûr d'avoir les dernières news à jour de mon blog ....
Le User-Agent me fait penser à un IE, s'agit t'il un bug d'IE ? Ou bien peut être d'un Virus qui s'amuse à flooder les feed RSS des blogs ? Ou s'agit t'il d'un agrégateur avec un faut User-Agent ?
J'imagine le désastre sur Internet si un virus s'amusait à appeler toute les minutes les Feed RSS enregistrés sur IE 7 ....
Je bloque l'IP ?
Commentaires
Oui tu peux bloquer l'IP !
Au pire, ça te fera un lecteur acharné en moins
Fais une recherche avec l'adresse IP sur google...
T'es pas le seul qui est visité par cette adresse...
un petit traceroute te donne ceci:
il semble aussi etre fan de http://www.association-spatiale-pla...
etant donné qu'il apparait dans leur stats de visites
Le user-agent peut facilement être falsifié.
Hors sujet, mais tu m'as l'air de beaucoup lire tes logs !
Tout le monde devrait faire ça pour optimiser sa machine.
Si le port est ouvert mais que la machine ne répond rien sur les ports demandés cela ne signifie pas que ce sont des "faux" services, peut-etre juste des problemes sur la machine du gars.
En tout cas ca semble juste etre un outil qui actualise régulièrement ton flux rss, à priori rien de bien méchant. Ca peut etre le fait d'une toolbar ou autre software gadget.
Bannir l'IP effectivement te privera d'un visiteur