[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian ?

J'ai récupéré ça dans mes logs, donc j'ai plutôt l'impression que la tentative
était dirigée contre mon serveur, et non contre le site du FBI :
==========================================================
# grep "123.242.224.7" access.log
123.242.224.7 - - [16/Apr/2014:23:29:05 +0200] "GET / HTTP/1.1" 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
123.242.224.7 - - [16/Apr/2014:23:30:04 +0200] "GET http://www.fbi.gov/ HTTP/1.1" 403 140 "-" "-"
123.242.224.7 - - [16/Apr/2014:23:30:40 +0200] "CONNECT www.fbi.gov:80 HTTP/1.0" 400 172 "-" "-"
123.242.224.7 - - [16/Apr/2014:23:31:13 +0200] "GET /admin/ HTTP/1.1" 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
123.242.224.7 - - [16/Apr/2014:23:31:36 +0200] "GET /~root/ HTTP/1.1" 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
123.242.224.7 - - [16/Apr/2014:23:31:54 +0200] "GET /configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1" 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
123.242.224.7 - - [16/Apr/2014:23:32:23 +0200] "GET /cgi/index_voipgate.cgi HTTP/1.1" 403 140 "-" "Mozilla/5.0 (FHScan Core 1.1)"
==========================================================
# grep "123.242.224.7" error.log
2014/04/16 23:29:05 [error] 11222#0: *1724586 access forbidden by rule, client: 123.242.224.7, server: localhost, request: "GET / HTTP/1.1", host: "5.135.191.38"
2014/04/16 23:30:04 [error] 11222#0: *1724591 access forbidden by rule, client: 123.242.224.7, server: localhost, request: "GET http://www.fbi.gov/ HTTP/1.1", host: "www.fbi.gov"
2014/04/16 23:31:13 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: "GET /admin/ HTTP/1.1", host: "5.135.191.38"
2014/04/16 23:31:36 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: "GET /~root/ HTTP/1.1", host: "5.135.191.38"
2014/04/16 23:31:54 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: "GET /configuration_administrator/VoIP/VoIP_1.htm HTTP/1.1", host: "5.135.191.38"
2014/04/16 23:32:23 [error] 11222#0: *1724637 access forbidden by rule, client: 123.242.224.7, server: localhost, request: "GET /cgi/index_voipgate.cgi HTTP/1.1", host: "5.135.191.38"
==========================================================
Pour info, la racine de mon serveur n'est autorisée qu'aux IP que j'utilise.

Je ne comprends pas bien cette histoire de proxies, je vais me renseigner.
Le 17 avr. 14 à 17:50, Jean-Jacques Doti a écrit :

Salut,

Le 17/04/2014 11:10, Philippe Gras a écrit :
Ce n'est pas une adresse de fishing, j'ai vérifié sur Google.

À moins que… L'adresse IP est en Chine.




 ################### Logwatch 7.4.0 (05/02/12) #################### 
        Processing Initiated: Thu Apr 17 06:25:19 2014
        Date Range Processed: yesterday
                              ( 2014-Apr-16 )
                              Period is day.
        Detail Level of Output: 0
        Type of Output/Format: mail / text
        Logfiles for Host: .kimsufi.com
 ################################################################## 

 --------------------- httpd Begin ------------------------ 

 Connection attempts using mod_proxy:
    123.242.224.7 -> www.fbi.gov:80: 1 Time(s)

Est-ce que ce ne serait pas plutôt une tentative de 123.242.224.7 d'accéder au site www.fbi.gov en essayant d'utiliser ton serveur HTTP comme proxy (tentative avortée puisque ton serveur n'est pas un proxy ouvert, n'est-ce pas ?)

Sur mes serveurs HTTP j'ai pleins de tentatives de ce genres (enfin, j'avais, puisque je bloque via iptables toutes les requêtes du genre «GET http://[…]»)

A+
Jean-Jacques


Reply to: