J’ai installé depuis peu un fail2ban sur les serveurs de Bikeo et avoue avoir un taux de conversion assez bon sur ce nouveau service ! Le nombre de clients qui cherchent à entrer sur les serveurs web via de la force brute est impressionnant, c’est la surveillance de l’entropie des serveurs qui m’a fait rechercher la cause. C’est donc que cela fonctionne de temps en temps sinon quel serait l’intérêt ?

En revanche, riche de cette expérience qui me fait voyager de la Russie à la Chine en passant par les USA et l’Amérique du Sud (paradoxalement pas trop d’Afrique), je me fends de temps à autre d’un email au contact abuse de l’adresse IP source de notre visiteur peu scrupuleux. Deux constats :

1. il n’existe pas toujours de contact de ce type dans les informations whois, est-ce un simple oubli ou une manoeuvre délibérée pour ne pas avoir à gérer les utilisateurs de ses adresses IP ?
2. il est très rare qu’une réponse revienne d’un email à abuse, mais cela arrive et souvent la réponse est du style “je me suis fait piraté mon serveur”, ce qui est d’ailleurs assez probable mais difficilement vérifiable.

Alors, quelle est la bonne attitude par rapport à ces tentatives et toutes les autres plus difficiles à trouver en temps réel et à arrêter ? Les hébergeurs et ISP devraient-ils répondre plus systématiquement à l’abuse ou tout du moins mettre en place des actions ? Connaissez-vous des opérateurs actifs dans ce domaine ?