Bonjour,
> Le 09 mai sur un site que j'administre j'ai relevé de 12 458
> contacts de cet user agent:
>
> Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Le User-Agent peut être celui d'un véritable navigateur web,
mais il existe aussi des robots/malwares qui usurpent de
véritables User-Agent pour éviter d'être détectés trop facilement
(là pour le coup, c'est raté).
> L'adresse IP pointe sur une Freebox en Aquitaine.
>
> Est-ce que quelqu'un sait ce que ça signifie ?
Il faudrait plus de contexte pour pouvoir donner un début de
réponse. Si les logs montrent différentes URL du genre:
"GET
http://www.qyer.com/ HTTP/1.1"
"GET /manager/html HTTP/1.1"
"GET
https://m.baidu.com/ HTTP/1.1"
"HEAD / HTTP/1.1^M"
"GET /phpMyAdmin HTTP/1.1"
(exemple non exaustif, c'est juste quelques lignes récentes
tirées des logs d'aujourd'hui).
C'est clairement mal intentionné, avec un zombie/bot qui
recherche des vulnérabilités, un proxy ouvert ou quoi que
ce soit d'autre suceptible d'être exploité.
Si par contre les logs affichent la même ligne à répetition,
c'est peut-être simplement un chat qui s'est endormi sur
un clavier, avec une patte sur la touche F5 :-)
Même dans le premier cas, il ne faut pas forcément s'inquéter.
Ce qui est important est de regarder les codes de réponse
HTTP renvoyés par le serveur : si c'est un '404' pas grand chose
à craindre. Un '200' n'est pas forcément un problème non plus ;
une mauvaise requête peut aussi faire que le serveur renvoie
la page d'index du site par défaut.
Une fois encore, avec plus de détails il serait possible de
donner une meilleure réponse.
A+
--
Xavier Belanger
