Aujourd’hui, Grinçant.com a subi à maintes reprises des tentatives de hacking de son « administration » (le back-office).
À cet instant, pas moins de treize adresses IP ont été blacklistées suite à des essais répétés de Logins/Mots de passe…
Je ne suis pourtant pas candidat aux élections présidentielles françaises, et je ne me prénomme même pas Emmanuel ;-)
En plus, c’est du factuel, du vrai, pas du bullshit probablement de campagne…
Voici la liste :
| Attaques contre Grinçant.com, ce 10/03/2017 |
|||
| Adresse IP | Code Pays | Pays | FAI |
| 109.173.88.245 | RU (RUS) | Fédération de Russie | PJSC Rostelecom (AS42610) |
| 91.144.142.188 | RU (RUS) | Fédération de Russie | JSC ER-Telecom Holding (AS41668) |
| 213.208.162.82 | RU (RUS) | Fédération de Russie | LLC Nauka-Svyaz (AS8641) |
| 81.200.82.163 | RU (RUS) | Fédération de Russie | TELEMEDNET TELEMEDNET – net of Center Children Telemedicin in Moscow (AS41109) |
| 109.188.87.3 | RU (RUS) | Fédération de Russie | PJSC MegaFon (AS47395) |
| 89.169.98.94 | RU (RUS) | Fédération de Russie | LLC Multiscan (AS31514) |
| 195.110.47.187 | RU (RUS) | Fédération de Russie | JSC ER-Telecom Holding (AS56420) |
| 92.255.77.77 | RU (RUS) | Fédération de Russie | Continental Ltd. (AS49345) |
| 91.103.205.137 | RU (RUS) | Fédération de Russie | OJSC Comcor (AS21106) |
| 217.12.243.6 | RU (RUS) | Fédération de Russie | JSC Ruscentrosvyaz (AS25511) |
| 62.176.7.182 | RU (RUS) | Fédération de Russie | Rial Com JSC (AS34456) |
| 109.252.90.125 | RU (RUS) | Fédération de Russie | OJS Moscow city telephone network (AS25513) |
Bref, la Russie en voudrait à ce blog… C’est même flagrant, et ça va faire des jaloux ;-p
Sauf que j’ai omis la treizième attaque, car l’origine de son IP est vraiment troublante…
En effet, je préfère vous la livrer géolocalisée, et en image :
Attaques d’Irak !!!
Utiliser un proxy/VPN sortant de Russie, c’est facile…
Mais là, j’avoue que ça m’en bouche un coin !
Mais où sont mes GBU-12 pour riposter ?
© PF/Grinçant.com (2017)
PS : ScopeSky, disons que c’est l’opérateur Internet “officiel/gouvernemental” en Irak.
Édit 20h20 : J’ai bien trouvé un service VPN qui arrive à sortir d’Irak (Bagdad), mais le FAI est… allemand ! (23Media GmbH – AS47447)
Bon, depuis la publication de cette Brève, et à cette instant, donc en moins de quatorze heures, 19 adresses IP supplémentaires bloquées, dont une… d’Arabie Saoudite !
OMG !!! Z’avez pas fait une étude sur les viandes halal par hasard ? :D
Non, mais j’ai récemment commis ça (une Brève) : La surprenante interview de Bachar al-Assad
Mais j’envisage mal un rapport avec cette publication.
Depuis mon commentaire de 8h39, j’ai encore bloqué 6 IPs :-/
OK, merci PF. Je viens seulement de découvrir votre blog, je vais de ce pas (enfin du bout de mes doigts) en prendre connaissance.
Bonne lecture ;-)
Il y a la fonction « Rechercher », mais aussi les Tags/Mots-clefs pour vous aider…
Mon tableau de bord m’indique que j’aurais dépassé les 400 000 mots (hors commentaires) !
Il a encore pris plus de valeur : Le blog gratuit à 62 millions d’euros :-P
C’est du ‘lourd’ en effet… No comment, pas envie qu’on vienne me pirater mon PC car mes connaissances limitées en informatique ne me permettront pas de réagir.
Au fait, puisque vous êtes un pro en la matière, quel anti-malware recommandez-vous ?
La problématique soulevée ici (serveur/site) est assez spécifique et complexe, les attaques pouvant se faire à différents niveaux.
Mais il est toujours troublant de voir des individus s’acharner ainsi, roder, frapper, essayer des clefs…
Et les origines des IPs ajoutent un peu d’exotisme dans tout ça.
Hier, j’ai aussi eu une tentative des Bahamas ;-)
Concernant un « anti-malware », je ne recommande rien, car le meilleur, c’est… Vous !!!
On dit souvent qu’il s’agit de l’interface chaise-clavier ;-)
Rien ne remplacera votre prudence et votre discernement.
Pour ma part, sous Windows 10, je suis revenu aux protections de base (Windows Defender) que j’estime suffisantes.
En cas de doutes, j’utilise quelques outils ponctuels.
Mais je suis un cas un peu à part :-P
Depuis 10h03, 20 IPs supplémentaires (et ça n’est pas du DDoS)…
Nous en sommes donc à 58 (toutes différentes bien sûr) en moins de 24 heures, presque toutes localisées en Russie.
Aurais-je droit à un reportage des TV « Mainstream » ?;-)
Quand on sait la chasse aux lanceurs d’alertes, et l’accueil qui leur est réservé en France, ça ne m’étonnerait pas que les services secrets soit sous-jacents via ces VPN. De plus, c’est un moyen simple, voire trop, pour stigmatiser ceux qu’on désigne comme pouvant nous nuire.
Et vu le niveau de la campagne pour la présidence, tous les coups sont permis.
J’envisage plein de possibilités. La Russie/l’Ukraine, ça ne me dérange pas vraiment, mais l’Irak, ça me rend perplexe/dubitatif.
En effet, (presque) n’importe qui peut utiliser un VPN, et je viens moi-même d’en utiliser un* pour sortir par Bagdad, seul moyen de charger complètement la page qui m’intéresse…
L’opérateur qui a été utilisé pour tenter de hacker ce blog avec une IP de là-bas, ScopeSky Communications, n’est clairement pas n’importe qui/quoi, et je ne pense pas qu’il fournisse des serveurs à usage VPN/Proxy pour un lambda de l’étranger.
Voici le début de leur page « Partenaires », et c’est édifiant de la part d’un pays comme l’Irak :
Maintenant, à notre époque, toutes les barbouzeries sont effectivement possibles, y compris françaises…
*Service HMA, 1 seul serveur déclaré en Irak, avec 252 IPs, mais ressortant avec 23Media GmbH (AS47447) comme opérateur (allemand).
Si ça se trouve, vous avez quelqu’un qui vous en veut qui passe par un réseau de machines infectées, dont une est en Irak. Pur hasard.
En tout cas, je doute que ça soit un service secret officiel genre NSA. Quand on est capable de pirater des TV ou des iPhone, on doit être capable de faire autre chose que du bourrin comme attaque force brute (ou alors pour faire diversion).
A propos de hasard, j’ai un jour reçu du spam avec comme émetteur « officiel » quelqu un que je connaissais. Evidemment c’était pas elle qui l’avait écrié, on avait juste usurpé son identité. Mais quelle est la probabilité que ça arrive ?
Je vois que vous faites allusion à Wikileaks « Vault 7 » ;-)
Alors, concernant l’attaque « Brute Force » à la méthode « bourrin », je pense, CDG, que vous avez totalement raison.
Il convient en effet d’isoler ce serveur irakien du reste, même s’il est hébergé dans une structure (très) « officielle » (ScopeSky)…
J’ai bien une idée pour tout ce qui vient de l’Est, mais j’ai un détail qui cloche dans la chronologie.
Mais il y a aussi cette tentative d’Arabie Saoudite, associée à l’Irak, qui est quand même curieuse au milieu de cette série :-/
Cela dit, les logins tentés sont parfaitement plausibles/ciblés :-P, donc il y a bien une vraie volonté d’entrer dans le back office de ce blog en tant qu’Administrateur, très probablement pour en détruire le contenu. (Pour prendre la main sur un serveur pour en détourner l’usage, on procède normalement autrement.)
Je ne m’inquiète pas plus que ça, mais comme je le dis dès le titre, c’est « troublant ».
Cette brève est aussi un nouveau clin d’œil à une actualité française récente, alors même que j’étais déjà cerné par les Russes/Ukrainiens : Macron, victimisation et bullshit à la Russe
En octobre 2016, j’ai aussi été attaqué, très curieusement, par des IPs de Corée du Sud : Gros merdier avec la Corée du Sud
Par des TV Samsung en cours de fabrication déjà vérolées par la NSA ?
Mais là, c’est quand même plus violent que la routine habituelle :-/
Concernant ce que vous décrivez pour un email « usurpé », c’est du grand classique, vu que les répertoires de nos smartphones sont aspirés par la plupart des applications que les gens y installent…
Bon, de mon côté, je vais faire appel au (bon) esprit de feu le cosmonaute Boris Legorov pour voir s’il a une idée de ce qui se passe, des fois que son vaisseau Voskhod 1 repasserait au-dessus de la Russie ;-P
La vie d’un paisible blog comme celui-ci n’est pas forcément de tout repos ;-)
Pour les bourrins, je rappelle que le Chapitre III « Des atteintes aux systèmes de traitement automatisé de données » du Code pénal a été durci par la loi n°2015-912 du 24 juillet 2015 – art. 4…
Je viens de vous faire un joli PDF extrait de Legifrance avec l’article 323 et tous les alinéas qui vont bien, du 1 au 8 : Ce que risquent les bourrins et autres hackers à attaquer un gentil blog
Et c’est nettement plus sérieux que l’affaire Fillon question peines encourues… ;-P
Petit bilan : 132 IPs bloquées sur ce coup…
Dernières tentatives menant au blacklistage, ce matin, 08h44.
Ça a l’air de s’être calmé ;-)
Je tiens tout cela à disposition des services secrets, d’autant qu’il y a même une IP du Koweït, ainsi qu’une jolie 84.100.160.91 (12/03/2017-10h40 notamment), bien de France, fournie par SFR dans le lot :-/
Les commentaires sont fermés.