Fuite de domaine ? - ZeroBin
mercredi 24 juillet 2019 à 10:01J'ai l'impression qu'il y a des fuites côté nom de domaine avec Let's Encrypt.
Voici ce que j'ai fait :
J'ai créé, chez Gandi, un sous-domaine assez compliqué pour ne pas être dans un dico et il pointe sur l'un de mes serveurs.
Sur ce serveur le site pas défaut n'est pas ce sous-domain mais un autre site.
J'ai créé un certif Let's Encrypt avec acme.sh.
Je ne diffuse pas ce sous-domaine. Donc normalement, il n'y a que moi, Gandi et Let's Encrypt qui le connaissent.
Et là dans mes logs, j'ai ça :
```
2600:3000:2710:200::1e - - [23/Jul/2019:15:26:54 +0200] "GET /.well-known/acme-challenge/[...] HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
45.63.15.169 - - [23/Jul/2019:15:33:11 +0200] "GET / HTTP/1.1" 200 4 "-" "-"
```
Pour 2600:3000:2710:200::1e, okay, c'est normal.
Mais qui est 45.63.15.169 ?
Et là, ce matin :
```
104.156.102.145 - - [24/Jul/2019:04:38:18 +0200] "GET /wp-admin/ HTTP/1.1" 404 162 "-" "Python/3.7 aiohttp/3.5.4"
118.127.15.83 - - [24/Jul/2019:04:32:03 +0200] "GET / HTTP/1.1" 200 4 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36"
118.127.15.83 - - [24/Jul/2019:04:32:03 +0200] "GET / HTTP/1.1" 200 4 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36"
```
WTF ?
Comment ont-ils eu connaissance de ce sous-domaine ? 0_o
Oros
Pour répondre -> https://ecirtam.net/zerobin/?564331ba3449888a#YposVDKRz0QmUZ7ch2wSIbda+2Xsu6KhkdpbktHQPOM=
— Permalink
Voici ce que j'ai fait :
J'ai créé, chez Gandi, un sous-domaine assez compliqué pour ne pas être dans un dico et il pointe sur l'un de mes serveurs.
Sur ce serveur le site pas défaut n'est pas ce sous-domain mais un autre site.
J'ai créé un certif Let's Encrypt avec acme.sh.
Je ne diffuse pas ce sous-domaine. Donc normalement, il n'y a que moi, Gandi et Let's Encrypt qui le connaissent.
Et là dans mes logs, j'ai ça :
```
2600:3000:2710:200::1e - - [23/Jul/2019:15:26:54 +0200] "GET /.well-known/acme-challenge/[...] HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
45.63.15.169 - - [23/Jul/2019:15:33:11 +0200] "GET / HTTP/1.1" 200 4 "-" "-"
```
Pour 2600:3000:2710:200::1e, okay, c'est normal.
Mais qui est 45.63.15.169 ?
Et là, ce matin :
```
104.156.102.145 - - [24/Jul/2019:04:38:18 +0200] "GET /wp-admin/ HTTP/1.1" 404 162 "-" "Python/3.7 aiohttp/3.5.4"
118.127.15.83 - - [24/Jul/2019:04:32:03 +0200] "GET / HTTP/1.1" 200 4 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36"
118.127.15.83 - - [24/Jul/2019:04:32:03 +0200] "GET / HTTP/1.1" 200 4 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.47 Safari/537.36"
```
WTF ?
Comment ont-ils eu connaissance de ce sous-domaine ? 0_o
Oros
Pour répondre -> https://ecirtam.net/zerobin/?564331ba3449888a#YposVDKRz0QmUZ7ch2wSIbda+2Xsu6KhkdpbktHQPOM=
— Permalink