Bonjour (ou bonsoir) à tous Depuis environ le premier juin, mes logs apache sont remplis de ligne du type 82.66.18.69 - - [08/Sep/2005:18:45:34 +0200] "GET / HTTP/1.0" 200 7086 "-" "-" Il y a eu exactement 8288 accès de ce type depuis le premier Juin. Un accès classique est de la forme 192.168.1.248 - - [09/Oct/2005:21:21:00 +0200] "GET / HTTP/1.0" 200 7086 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.8) Gecko/20050831 Debian/1.7.8-1sarge2" Ici donc, le navigateur et la page d'origine sont donc masqués. Parmi ces visiteurs curieux, 8258 venaient d'une machine d'IP de la forme 82.66.xxx.yyy sachant que mon IP est 82.66.248.156. Il y a en fait 713 IP distinctes de ce type. A chaque fois, la demande est toujours la même et n'est pas suivi d'autre demande. Je penche pour un ver mais dans ce cas je suis perplexe: Pourquoi ce vers se limite-t-il au IP 82.66.xxx.yyy (une conjecture: si il est sur un réseau local, il reste dans ce cadre). Ce qui me fait penser à un ver est une trace par tcpdump (cf fichier joint de 3K), on y voit deux connections de ce type avec à chaque fois le même comportement (2 essais) et entre les deux, une différence dans le numéro de port de 7 ou 8 ce qui indique que la machine source ouvre pas mal de connections (de l'ordre de 5 par seconde). Ca ressemble à un ver. Quelqu'un a-t-il constaté un phénomène équivalent et peut il m'indiquer quel est ce ver (ou bien ce qu'est ce truc). François Boisson
Attachment:
trace
Description: Binary data