[gull] Web server and changing IPs
Daniel Cordey
dc at mjt.ch
Wed Sep 1 08:53:41 CEST 2010
On Wed, 01 Sep 2010 07:40:52 +0200 - Jean Pierre Rupp
<jpierre at xeno-genesis.com> wrote:
> Il y a plusieurs adresses qui font partie des botnets, ou ont été
> partie des botnets dans le passé. Si on parle des fournisseurs de
> hosting, ou des adresses partagés par plusieurs machines. Ça suffit
> une seule machine infecté derrière le NAT.
En l'occurence, je penche vraiment pour un proxy infecte par un Trojan.
Pourquoi ? Parceque le pattern se retrouve sur plusieurs serveurs web
dont les requetes emanent de la meme societe. Vu le nombre d'employes
de cette societe et les sites visites, la probabilite qu'il s'agisse du
meme utilisateur est quasi nulle. De plus, l'un des PC ayant servit a
ete change... Le hic est que le service informatique de cette
grosse societe Suisse ne comprend pas le probleme... Mais, ayant
detecte ce genre de pattern chez trois autres societes, et dument
prevenu leur departement informatique, j'ai obtenu exactement la meme
reaction. Pour ces gens, le probleme est chez nous. Un tel niveau
d'incompetence me laisse perplexe :-(
dc
More information about the gull
mailing list