rss,IE,flood

En consultant les statistiques de mon blog avec Awstats, un analyseur de log Apache, je me suis rendu compte qu'une machine a fait 8000 requêtes HTTP vers mon serveur depuis le début du mois et n'a consommé que 1.68 Mo de bande passante. Étrange non ?

Cette machine est : 89.84.38.47

Après un scan rapide de la machine avec Nmap, il s'agit d'une machine avec de faux services : un faux serveur HTTP, un faux serveur FTP, un faux serveur SSH ....

PORT   STATE    SERVICE
21/tcp open     ftp
22/tcp open     ssh
23/tcp open     telnet
25/tcp filtered smtp
80/tcp open     http

Après une analyse rapide de mes logs Apache, cette machine lit le flux RSS de mon blog toute les minutes ;-)

89.84.38.47 - - 07/Sep/2007:11:39:54 +0200 "GET /feed/rss.xml HTTP/1.1" 200 44506 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MSOffice 12)"

Au moins elle est sûr d'avoir les dernières news à jour de mon blog ....

Le User-Agent me fait penser à un IE, s'agit t'il un bug d'IE ? Ou bien peut être d'un Virus qui s'amuse à flooder les feed RSS des blogs ? Ou s'agit t'il d'un agrégateur avec un faut User-Agent ?

J'imagine le désastre sur Internet si un virus s'amusait à appeler toute les minutes les Feed RSS enregistrés sur IE 7 ....

Je bloque l'IP ?

  • Clone carte RFID Mifare

    Hacking : Comment cloner une carte RFID ?

    Les cartes RFID Mifare 1K possèdent deux protections principales : Le block 0 est en lecture seule, seul le constructeur de la carte peut initialiser ce block. Les données écrites sur les cartes sont encryptées. Il existe cependant des solutions pour outrepasser ces protections et permettre de créer des copies exactes. Cet article détaille la procédure pour cloner une carte RFID Mifare 1k sous Linux.

  • Tutoriel Backtrack 5 : Comment cracker un réseau Wifi protégé avec du WPA

    Voici un tutoriel intéressant sur les outils de bruteforce WPA mis à disposition dans la distribution Linux Backtrack 5.

1. Le , 00:39 par spawnrider
f7bf66fa0d9fc0532a323f47a5c3ba95

Oui tu peux bloquer l'IP !
Au pire, ça te fera un lecteur acharné en moins :)

2. Le , 09:01 par Kermit
a446f3828dc6a5ac07216b573c8c4c28

Fais une recherche avec l'adresse IP sur google...
T'es pas le seul qui est visité par cette adresse...

3. Le , 09:25 par servhome
fe0053be68cb6f197ae8165d2d32a125

un petit traceroute te donne ceci:

jem75-2.dslam.club-internet.fr (195.36.231.203)  45.352 ms  40.379 ms  39.120 ms
9  jem75-2-89-84-38-47.dsl.club-internet.fr (89.84.38.47)  76.150 ms  77.975 ms  77.526 ms
4. Le , 09:29 par servhome
fe0053be68cb6f197ae8165d2d32a125

il semble aussi etre fan de http://www.association-spatiale-pla...
etant donné qu'il apparait dans leur stats de visites

5. Le , 09:29 par Smashou
9adf88b5ef1ae33164b0bc0a72f5ba07

Le user-agent peut facilement être falsifié.

6. Le , 18:03 par Skate.tmx
15ec65197b99ff74f9d630ba0192fa58

Hors sujet, mais tu m'as l'air de beaucoup lire tes logs !
Tout le monde devrait faire ça pour optimiser sa machine.

7. Le , 12:20 par Ben Nonyme
34febf5023ba98c89bb1ed14b93d471b

Si le port est ouvert mais que la machine ne répond rien sur les ports demandés cela ne signifie pas que ce sont des "faux" services, peut-etre juste des problemes sur la machine du gars.

En tout cas ca semble juste etre un outil qui actualise régulièrement ton flux rss, à priori rien de bien méchant. Ca peut etre le fait d'une toolbar ou autre software gadget.

Bannir l'IP effectivement te privera d'un visiteur :)

8. Le , 10:44 par pix
f088f6ad3c74bfbdad9fc7f57c73369f

c est l ip des fan club a paris voici les donnees

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 89.0.0.0 - 89.255.255.255
CIDR: 89.0.0.0/8
NetName: 89-RIPE
NetHandle: NET-89-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS2.LACNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 2005-06-30
Updated: 2009-05-18

 ARIN WHOIS database, last updated 2009-08-26 20:00
 Enter ? for additional hints on searching ARIN's WHOIS database.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.