Notices Apache Whatsapp

Je répond finalement tout seul au problème.

Les nombreuses requêtes sont issu de l’auto-complétion de l'appli whatsapp.
C'est à dire que lorsque vous commencer de taper un lien par exemple http://google.fr/ dès que le dernier Slash est tapé, une requête est envoyé par l'appli au site pour vérifier un code 200. A chaque caractère tapé en supplément une requête est envoyée. Exemple:

[23/Jan/2016:20:22:25 +0100] "GET / HTTP/1.1" 200 1315 "-" "WhatsApp"
[23/Jan/2016:20:22:28 +0100] "GET /t HTTP/1.1" 404 423 "-" "WhatsApp"
[23/Jan/2016:20:22:28 +0100] "GET /te HTTP/1.1" 404 424 "-" "WhatsApp"
[23/Jan/2016:20:22:28 +0100] "GET /tes HTTP/1.1" 404 424 "-" "WhatsApp"
[23/Jan/2016:20:22:29 +0100] "GET /test HTTP/1.1" 404 425 "-" "WhatsApp"
[23/Jan/2016:20:22:30 +0100] "GET /testn HTTP/1.1" 404 426 "-" "WhatsApp"
[23/Jan/2016:20:22:30 +0100] "GET /testno HTTP/1.1" 404 427 "-" "WhatsApp"
[23/Jan/2016:20:22:30 +0100] "GET /testnot HTTP/1.1" 404 427 "-" "WhatsApp"
[23/Jan/2016:20:22:31 +0100] "GET /testnoti HTTP/1.1" 404 425 "-" "WhatsApp"
[23/Jan/2016:20:22:31 +0100] "GET /testnotic HTTP/1.1" 404 426 "-" "WhatsApp"
[23/Jan/2016:20:22:32 +0100] "GET /testnotice HTTP/1.1" 404 426 "-" "WhatsApp"
[23/Jan/2016:20:22:32 +0100] "GET /testnotices HTTP/1.1" 404 427 "-" "WhatsApp"


Du coup l'appli flood en requêtes pour pas grand chose, remplis vos logs

Je me répond encore , ces requêtes sont en lien avec l'extension du nom de domaine. C'est à dire que l'origine de l'extension, dans ce cas là un .pe, est la même que celles des IP produisant ces requêtes.

A savoir également que toutes ces IP proviennent des même réseaux, c'est à dire que si j'ai une requête qui provient de 190.239.83.3, si je fouille je retrouve plein de 190.239.83.X ( pas toutes mais pas mal).

En attendant de comprendre, l'utilisation de geoip et iptables me retires ces requêtes.

Merci

Merci de ta réponse.

Ce qui m’ennuie c'est que je n'arrive pas à reproduire le même cas de figure avec Whatsapp . Et un si c'est un hack, quel est l’intérêt de ces requêtes vides, le fichier appelé est quasi vide c'est un index par défaut, car non utilisé normalement.

:/

Merci de la réponse.

J'ai effectivement de suite pensé au hacking, mais je n'arrive pas a comprendre en quoi ça en serait un :/ . Il y a toujours un but dans un piratage, spammer, flooder, servir de zombie etc ...

Et si c'est un lien partagé, la page doit être chargé en entier, image/css/scripts. La c'est uniquement l'index qui est chargé, rien d'autre.
Si on veut reproduire la même requête c'est comme si on le faisait par le biais de Lynx mais avec le user agent de whatsapp.

Hello

Sur whatsapp tu peux partager des liens et autres documents, le site en question ne pourrait être une référence whatsapp ?
Si quelqu'un à partager un élément ou le site de ton serveur, cela pourra faire ce genre de retour.

Sinon tu te fais gentillement hacké ...

Bon courage
http://www.captainadmin.com

Bonjour,

je me tourne vers vous afin de comprendre l’existence des notices que je vois défilé en nombre.
Elle ressemble à ceci (les X cache bien sur l'ip complète):

site.fr:80 XXX.246.204.183 - - [22/Jan/2016:07:25:07 +0100] "GET / HTTP/1.1" 200 1200 "-" "WhatsApp"
site.fr:80 XXX.232.60.199 - - [22/Jan/2016:07:25:14 +0100] "GET / HTTP/1.1" 200 2087 "-" "WhatsApp"
site.fr:80 XXX.193.37.218 - - [22/Jan/2016:07:25:14 +0100] "GET / HTTP/1.1" 200 1200 "-" "WhatsApp"

Donc pour résumer cela représente 30000 requêtes en une journée, les requêtes ne charge que la racine du site sans charger les images, css, etc ... Les ip effectuant ces requêtes ne reviennent pas deux fois. Sur la quinzaine de nom de domaine que le serveur gère, un seul est impacté.

Le serveur est sous Ubuntu 14.04, le serveur web est Apache 2. Après avoir tout vérifié, connexions ouvertes,signatures prog,auth etc .. rien d'anormale :/

Je connais l'application Whatsapp pour mobile néanmoins je ne comprends pas le rapport avec ces notices, le site brasse un trafique journalier d'environ 2000 visites uniques, rien à voir avec les 30 000 de "whatsapp" .

Merci de vos réponses .