chalmion.homelinux.net attaqué !
Eh oui, c'est la guerre, et ce tous les jours un peu plus.
Mais pas de bombe ni de mort d'homme. C'est par le réseau que je suis attaqué. Bon des attaques SSH, balayage de ports etc. c'est fréquent, tous les jours, normal, connu, on ne s'en fait pas et on vit avec. Seulement, depuis quelques jours je me fais attaquer à répétition depuis la même IP (et le même port). Ils attaquent certains ports mais aussi les services qui répondent, comme par exemple le serveur web qui vous permet de lire ces lignes.
Extrait des log du routeur (c'est tout frais d'aujourd'hui) :
TCP Packet - Source:58.218.199.147,12200 Destination:82.126.151.65,2301 - [DOS]
TCP Packet - Source:58.218.199.147,12200 Destination:82.126.151.65,8118 - [DOS]
TCP Packet - Source:58.218.199.147,12200 Destination:82.126.151.65,8008 - [DOS]
TCP Packet - Source:58.218.199.147,12200 Destination:82.126.151.65,8088 - [DOS]
TCP Packet - Source:58.218.199.147 Destination:82.126.151.65 - [PORT SCAN]
TCP Packet - Source:58.218.199.147,12200 Destination:82.126.151.65,3128 - [DOS]
Mais apache aussi, et avec des requêtes bizarres, où ils essayent de rebondir sur d'autres sites.
58.218.199.147 - - [19/Feb/2011:00:56:16 +0100] "GET http ://www.infodownload.info/proxyheader.php HTTP/1.1" 404 541 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.199.147 - - [19/Feb/2011:05:42:47 +0100] "GET http ://58.218.199.147:7182/judge.php HTTP/1.1" 404 530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.199.147 - - [19/Feb/2011:08:06:01 +0100] "GET http ://98.126.15.13/proxyheader.php HTTP/1.1" 404 532 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.204.110 - - [19/Feb/2011:18:12:22 +0100] "GET http ://58.218.199.147:7182/judge.php HTTP/1.1" 404 530 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Bon c'est pas compliqué j'ai bloqué cette IP directement sur le routeur, à la main… et avec l'interface web, après avoir consciencieusement et lamentablement échoué avec iptables.
Apparemment le combo 58.218.199.147:12200 est connu, on en parle sur le net, il y a des gens qui râlent sur les sites dédiés (déjà 165 rapports depuis octobre 2010). J'ai demandé à une autre personne qui a un serveur personnel chez lui et effectivement cette IP a aussi attaqué son serveur web, avec le même genre de requêtes que chez moi.
Un whois sur cette IP renvoie en Chine, et ce à l'époque où on parle tant de la cyber-attaque des chinois. J'en fais partie. Je suppose que je dois être flatté ?