Bonjour (ou bonsoir) à tous
Depuis environ le premier juin, mes logs apache sont remplis de ligne
du type
82.66.18.69 - - [08/Sep/2005:18:45:34 +0200] "GET / HTTP/1.0" 200 7086
"-" "-"
Il y a eu exactement 8288 accès de ce type depuis le premier Juin. Un
accès classique est de la forme
192.168.1.248 - - [09/Oct/2005:21:21:00 +0200] "GET / HTTP/1.0"
200 7086 "-" "Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.8)
Gecko/20050831 Debian/1.7.8-1sarge2"
Ici donc, le navigateur et la page d'origine sont donc masqués.
Parmi ces visiteurs curieux, 8258 venaient d'une machine d'IP de la
forme 82.66.xxx.yyy sachant que mon IP est 82.66.248.156. Il y a en
fait 713 IP distinctes de ce type. A chaque fois, la demande est
toujours la même et n'est pas suivi d'autre demande. Je penche pour un
ver mais dans ce cas je suis perplexe: Pourquoi ce vers se limite-t-il
au IP 82.66.xxx.yyy (une conjecture: si il est sur un réseau local, il
reste dans ce cadre). Ce qui me fait penser à un ver est une trace par
tcpdump (cf fichier joint de 3K), on y voit deux connections de ce type
avec à chaque fois le même comportement (2 essais) et entre les deux,
une différence dans le numéro de port de 7 ou 8 ce qui indique que la
machine source ouvre pas mal de connections (de l'ordre de 5 par
seconde). Ca ressemble à un ver.
Quelqu'un a-t-il constaté un phénomène équivalent et peut il m'indiquer
quel est ce ver (ou bien ce qu'est ce truc).
François Boisson