Bonjour, > Quelqu'un ici a parlé d'un lien potentiel avec la Corée du nord. > > Ça semble aller dans cette direction : > http://www.ouest-france.fr/monde/coree-du-nord/virus-informatique-la-coree-du-nord-pourrait-etre-liee-l-attaque-4993956
Ce genre d'attaques, avec de telles particularités, sont d'expérience souvent en lien avec l'actualité des questions géopolitiques. Elles ont un caractère soudain, et sont réalisées avec de gros moyens mais avec peu de précision dans le ciblage… Quand c'est mon serveur ou une de ses activités qui sont visés, c'est beaucoup plus opiniâtre et ciblé. > > Quelqu'un a dit avoir vu de l'activité suspecte passer sur ses serveurs, > j'aimerais moi aussi voir ces logs si possible, dans un but didactique. Il n'y a rien de spécial dans les logs, sauf que les requêtes suspectes viennent de partout sauf de France. Parallèlement à un pic d'attaques par dictionnaire venant principalement de Chine, j'ai observé un pic de messages sur une liste de discussion, venant de non abonnés issus de tous les pays de la planète, sauf de France (où se trouvent ses . Le message était en anglais avec un lien dedans. Rien de particulier donc, dans les logs. Il m'a été impossible d'identifier un motif particulier dans ces mails qui m'aurait permis de créer un filtre dans fail2ban. Mais 2 jours plus tard, ça s'était déjà calmé… Que la NSA soit citée (à tort ou à raison, mais apparemment c'est à raison…) paraît confirmer le caractère géopolitique de l'attaque. Ceci dit, il n'est pas exclu qu'il puisse y en avoir 2, la seconde crapuleuse en se cachant derrière la première… Bien à vous, Ph. Gras
