Forum Linux.debian/ubuntu robot bizare

Posté par EauFroide le 27 mai 2016 à 15:28. Licence CC By‑SA.

Étiquettes :

mai

2016

Un robot bizarre est en train de scanner mon forum en utilisant comme DNS "http://loveawake.ru/". Au début je pensais à un spam mais c'est inhabituel qu'un spam scan les topics d'un forum. Il se fait aussi passer via UserAgent pour plein de navigateurs (Opera, YaBrowser, Safari, Chrome, Firefox, etc), là où d'hab les spams se limitent à un voir deux user agent max.
Auriez-vous déjà rencontré ce drôle d'individu?

Un extrait de mes logs

188.255.119.193 - - [27/May/2016:15:03:00 +0200] "GET /forum4/viewtopic.php?t=216 HTTP/1.0" 200 89886 "http://loveawake.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.111 Safari/537.36"
188.255.119.193 - - [27/May/2016:15:03:21 +0200] "GET /forum4/viewforum.php?f=12&sid=aad415cde22c9d78d8c32eccdcfaac5c HTTP/1.0" 200 29350 "http://loveawake.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; MRA 5.10 (build 5339); GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; .NET CLR 1.1.4322)"
188.255.119.193 - - [27/May/2016:15:03:24 +0200] "GET /forum4/viewforum.php?f=17&sid=aad415cde22c9d78d8c32eccdcfaac5c HTTP/1.0" 200 28798 "http://loveawake.ru/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 YaBrowser/14.10.2062.12061 Safari/537.36"
188.255.119.193 - - [27/May/2016:15:12:44 +0200] "GET /forum4/memberlist.php?mode=viewprofile&u=48&sid=aad415cde22c9d78d8c32eccdcfaac5c HTTP/1.0" 200 13674 "http://loveawake.ru/" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36"

# geoip

Posté par steph1978 le 27 mai 2016 à 16:30. Évalué à 2.

IP Address : 188.255.119.193
Country Code : RU
Location : Moscow,Moscow,Russia,Europe
Postal Code : 101194
Approximate Coordinates* : 55.7522,37.6156
Accuracy Radius : 1
ISP : Rostelecom
Organization : Rostelecom
Domain : nationalcablenetworks.ru

# Commentaire supprimé

Posté par Anonyme le 27 mai 2016 à 18:24. Évalué à 4.

Ce commentaire a été supprimé par l’équipe de modération.
- [^] # Re: Collecte de données
  
  Posté par EauFroide le 27 mai 2016 à 19:30. Évalué à 1. Dernière modification le 27 mai 2016 à 19:35.
  
  Ah pas bête ! Ça expliquerais pourquoi il tente d'accéder aux profils des utilisateurs.
  Mais ça n'explique pas pourquoi il y a le "http://loveawake.ru/" dans la partie DNS des logs (c'est pas discret ^ ^ )
  
  Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
  - [^] # Re: Collecte de données
    
    Posté par Dr BG le 27 mai 2016 à 21:24. Évalué à 3.
    
    Vu le site, il cherche peut-être plutôt des photos de profil pour alimenter les faux profils du site de rencontre.
  - [^] # Re: Collecte de données
    
    Posté par Marotte ⛧ le 28 mai 2016 à 20:30. Évalué à 2.
    
    c'est pas discret
    
    Devrait-ce l’être et pourquoi ?
    - [^] # Re: Collecte de données
      
      Posté par EauFroide le 28 mai 2016 à 22:20. Évalué à 1. Dernière modification le 28 mai 2016 à 22:21.
      
      Devrait-ce l’être et pourquoi ?
      
      Cette erreur de hostname a intrigué ma curiosité et la résultante est un ban définitif de son adresse IP ^ ^
      
      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.