Suite aux différentes révélations de piratages de sites qui ont eu pour source des pastes effectuées sur pastebin.com et consors, je me suis intéressé de plus près à ces systèmes et aux usages courants de ceux-ci. Ces systèmes dits de pastebin sont très utilisés par des développeurs, ou même des internautes pour partager des séries de textes, comme des codes sources ou encore le contenu de fichiers de configuration. Ces partages peuvent être réalisés de manière publique ou non.

J'ai orienté mon analyse dans deux directions. La première est classique, il s'agit tout simplement de mesurer la résistance des sites de pastebin au harvesting, la seconde de sonder les usages fait par les utilisateurs du service. Je dois dire que la première direction me semblait tracée, quant à la seconde j'ai été quelque peu surpris.

{L'{harvesting ou comment dénicher des pastes perdues}}

Tout système de pastebin se doit d'implémenter certaines fonctionnalités, comme:

• permettre le paramétrage d'une durée de stockage
• autoriser ou non la mise à disposition au public du paste
• donner un alias au paste qui soit difficile à deviner (dans le cas de paste privée par exemple)

Ces fonctionnalités doivent être implémentées dans tout pastebin qui se respecte, cependant ce n'est pas le cas de tous ! J'ai pu notamment éplucher le fonctionnement de plusieurs pastebin qui ne répondent pas à ces critères, dont certains sont relativement connus et usités. Le critère le moins souvent respecté est le troisième que j'ai précédemment énoncé, celui qui consiste à donner un alias de paste qui ne soit pas aisément trouvable. Or bon nombre de pastebin se contentent de l'incrémenter, comme par exemple pastebin.archlinux.fr, paste.ubuntu.com ou encore pastie.org.

Il devient alors aisé de décrémenter le numéro référençant le paste, et de lister l'ensemble des contenus accessibles, dont notamment les pastes qui sont privées et ne devaient a priori pas être lues par tout le monde. Le non-respect de la troisième fonctionnalité implique ainsi une entorse possible à la seconde fonctionnalité.

Quant à la première, certains pastebins ne l'implémentent pas du tout, comme c'est le cas sur le pastebin de la distribution Ubuntu, qui conserve des pastes datant de 2007, comme par exemple ce paste.

J'ai donc développé un petit outil permettant de récupérer les données intéressantes qui pourraient se trouver dans ces différents pastebins, afin de les analyser et de pouvoir repérer les usages faits de ces outils de stockage de texte.

Et on creuse à la mode Minecraft ...

Muni de cet outil, j'ai tout simplement commencé à récupérer bon nombre de pastes publiques ou privées, et conservé que celles qui me semblaient pertinentes (présence d'URLs, de référence à des mots de passe, des identifiants, etc ...).

J'ai été surpris de découvrir les différents usages fait de ces pastebins, car à part le partage de code source ou de texte et la diffusion de textes indiquant le piratage de tel ou tel serveur, je n'avais envisagé seulement qu'une poignée d'utilisations possibles. Alors que la réalité est toute autre !

Certes, les bouts de code partagés sont dans certains cas très intéressants, comme celui-ci récupéré sur le pastebin d'Ubuntu et qui dévoile une portion de requête SQL en place sur launchpad.net (développé par Canonical, la même société qui supporte Ubuntu):

Traceback (most recent call last):
  File "/srv/launchpad.net/codelines/current/scripts/ftpmaster-tools/sync-source.py", line 858, in ?
    main()
  File "/srv/launchpad.net/codelines/current/scripts/ftpmaster-tools/sync-source.py", line 853, in main
    current_binaries = read_current_binaries(Options.tosuite)
  File "/srv/launchpad.net/codelines/current/scripts/ftpmaster-tools/sync-source.py", line 483, in read_current_binaries
    cur.execute(query)
psycopg.ProgrammingError: ERROR:  column "published" does not exist at character 397


    SELECT bpn.name, bpr.version, c.name
    FROM binarypackagerelease bpr, binarypackagename bpn, component c,
        securebinarypackagepublishinghistory sbpph, distroarchrelease dar
    WHERE
        bpr.binarypackagename = bpn.id AND
             sbpph.binarypackagerelease = bpr.id AND
        sbpph.component = c.id AND
        sbpph.distroarchrelease = dar.id AND
        sbpph.status = Published AND dar.id in (59, 60, 61, 62, 65, 63, 64)

Il est par ailleurs intéressant de noter que Canonical s'est servi de ce pastebin à des fins de partage de code interne, a priori sans se douter que n'importe qui pouvait le récupérer. On y trouve par ailleurs une donnée encodée en base64 qui ressemble étrangement à une clef publique SSH, dans les premiers pastes insérés dans le pastebin d'Ubuntu:

AAAAB3NzaC1yc2EAAAABIwAAAQEAnfeJoAXw+5hHrSgr09AQBLocDwlxguTAv7ZjbrWh09gbneg3Gl+lziraHUpIM3odvUhiWpKyjiPBPxBRyYdLijv774jxuZ34eDQ09U+L6ofsimB9dFuG0aduVJZCC/A6BAg9DZzXU9U6YdoYMlvvR9W7a9TUqE1Mtql0G30u0y1jTnguumosFllTCr1ww7AW4yu8UJz41OubwUiRSgNMhFSuPmqhf/v8v1Y38j2eeb6CvsZGMmPOQ2QqvHVc+mjbeqONDTuE0PFdHc86a59oejodEtpJuKw5FSmaxNCrQWJTZ+GkLRGHMwn3iNqOMWtUeud8IQBWdVRpIozirnP5Aw==

On trouve aussi des identifiants d'accès à différents services en fouillant un peu (les identifiants et mots de passe ont été modifiés):

ftp://3dsp_********@3dsp.com.cn/

user: 3dsp_********
passwd: m4r***

user: 3dsp_********
passwd: fw1***

Cette utilisation correspond à l'usage normal du pastebin, cependant on peut s'apercevoir très rapidement que ces systèmes sont aussi employés pour diffuser des versions crackées de jeux, comme le tout récend Dead Island, qui se retrouve sur fileserve en archive multi-parties et dont plusieurs pastes ont été réalisées sur différents pastebins, référençant les différents fichiers. Bon c'est du direct download, mais c'est certainement employé pour diffuser ces informations.

http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part01.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part02.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part03.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part04.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part05.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part06.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part07.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part08.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part09.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part10.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part11.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part12.rar
http://www.filesonic.com/file/188*******/D34d_I5la_Reloaded_By_EscorpionENS.part13.rar

Un autre usage observé, et qui se rapproche de ce que l'on a pu voir avec l'annonce sur ces systèmes de piratages de serveurs, est la publication de comptes email compromis, avec dans la grande majorité des cas le compte email et de manière optionnelle les mots de passe:

TARGET: Sony Pictures International [sonypictures.com]

[exposed sonypictures.com database]
NAME: sweepstakes

- sptv_seinfeld_delboca_users

EMAIL | PASSWORD

1@grandhaven.us | swe***
10coleen@bellsouth.net | rox***
121cabana@animail.net | a0a***
123@11.com | 123***
12347890@charter.net | 2ca***
1369venom@gmail.com | tho***
1544@comcast.net | mic***
1709green@gmail.com | g9g***
1948baby@comcast.net | mar***
19jackson@comcast.net | den***
1agordon@roadrunner.com | scr***
1Chance4Laura@gmail.com | can***
1colleenruth@q.com | yos***
1koko2@gmail.com | spa***
1l9b8w7b@gmail.com | 19L***
1lindam@gmail.com | sca***
1lizardqueen@gmail.com | bud***
1redsox1@sbcglobal.net | cas***
...

Dans le même style, certains pirates récupèrent des informations de keyloggers directement via des pastes:

----------------------------------------------------------
Program:        Firefox
Url/Host:       http://aimbots.net
Login:          Swa********
Password:       bax***
Computer:       TROY-PC
Date:           2011-05-08 22:53:23
Ip:                     69.108.***.***
----------------------------------------------------------
Program:        Firefox
Url/Host:       http://www.d3scene.com
Login:          Swa********
Password:       bax***
Computer:       TROY-PC
Date:           2011-05-08 22:53:23
Ip:                     69.108.***.***
----------------------------------------------------------
Program:        Firefox
Url/Host:       http://www.fpscheats.com
Login:          taj********@yahoo.com
Password:       bax***
Computer:       TROY-PC
Date:           2011-05-08 22:53:24
Ip:                     69.108.***.***
----------------------------------------------------------
Program:        Firefox
Url/Host:       http://www.fpscheats.com
Login:          Swa********
Password:       bax***
Computer:       TROY-PC
Date:           2011-05-08 22:53:24
Ip:                     69.108.***.***
----------------------------------------------------------

Ou encore partagent des bouts de code PHP réalisant ce qui semble être un webshell (PHPJackal):

$intro="<center><table border=0 style='border-collapse: collapse'><tr><td bgcolor='#666666'><b>Script:</b><br>".str_repeat('-=-',25)."<br><b>Name:</b> PHPJackal<br><b>Version:</b> $v<br><br><b>Author:</b><br>".str_repeat('-=-',25)."<br><b>Name:</b> NetJackal<br><b>Country:</b> Iran<br><b>Website:</b> <a href='http://netjackal.by.ru/' target='_blank'>http://netjackal.by.ru/</a><br><b>Email:</b> <a href='mailto:nima_501@yahoo.com?subject=PHPJackal'>nima_501@yahoo.com</a><br><noscript>".str_repeat('-=-',25)."<br><b>Error: Enable JavaScript in your browser!!!</b></noscript>$et</center>";^M
$footer="$*msgbox*PHPJackal v$v - Powered By <a href='http://netjackal.by.ru/' target='_blank'>NetJackal</a>$et";

J'ai aussi pu identifier quelques annonces de carders, et foultitude de liens pointant sur des sites pornographiques, avec des accès valides (oui j'ai vérifié, et non je n'ai pas sali le clavier ou l'écran):

I'm Seller for: CC, CVV US,UK,CA, EURO,AU, Italian,Japan,France,...all cc.
Paypal verify, Software Spam mail mail list, code PHP,Shop Admin and CC fullz info, CC DOB, Dump, Banklogin, Pri sock....Domain hosting.

If you want to test you must send money for me
Contact me if you need it: YahooID: sell_cvv.good89
You Send money => I send cvv2 good
Payment via LR
Sell Paypal account US reg 3 month ago: 18$/1 acc: Verified
Sell Paypal account US: 10$/1 acc: Verified
Sell Bank account info US: 7$
Sell PVN to ----> US : 8$/month ( Fake IP US)
Sell Visa Debit US : 120$
"Sell cvv US UK AU EU full info live 100% good price
1 Sock live = 1$/1sock live > 5day

...

http://123****:987****@members.collegefucktour.com/full/
http://Dre****:WP2****@americancatfighting.com/members/
http://caf****:mcf****@www.hioctanemag.com/membership/
http://epo****:epo****@members.larinlanexxx.com/
http://rom****:rom****@realspankingspremium.com/members/
http://ani****:ani****@www.beautygirl-story.org/
http://sam****:sam****@transworldasia.com/private/members/members-main.php
http://713****:par****@readvintage.com/members/
http://JAS****:FIS****@www.blacksandmatures.com/members/v2/
...

Conclusion

Actuellement, les pastebins servent de système de stockage (presque) anonymes, et autant les utilisateurs que les développeurs de pastebins (à l'exception de certains pastebins comme pastebin.com, et autres) ne s'y prennent pas comme il faut. En faisant cela, des données personnelles et/ou confidentielles sont exposées, et un petit malin récupérant l'intégralité des pastes régulièrement pourrait tomber sur des informations sensibles. Aucune limitation de requêtes n'est présente, pas de surveillance du contenu (supposé privé amha).

Le manque de protection par mot de passe ou de pastes consultables qu'une seule fois (via l'emploi de jetons) se fait rapidement sentir. Les développeurs de ces plateformes sont responsables de la sécurité des données insérées par les utilisateur, bien que la grande majorité se déchargent allègrement de cette responsabilité au travers de disclaimers comme celui-ci:

<quote>With great power comes great responsibility. Pastie wisely. </quote>

Toutefois, cela reste une très bonne source de recherche pour dénicher des informations sensibles, comme des comptes email/facebook compromis, des accès aux hotspots Neuf, des informations sensibles issues d'entreprises dont les employés partagent via ces systèmes, et pas seulement détecter la compromission d'un serveur. De même, les outils de veille technologique devraient intégrer l'indexation de ce type de contenu, contenant potentiellement (et temporairement dans certains cas) des données vitales concernant une personne ou une entreprise.

Suite à la visite de la CNIL dans les locaux de TMG, je me suis demandé si cela avait bouleversé leurs pratiques et notamment le monitoring des fichiers partagés via Bittorrent. J'entrepris alors de mener quelques recherches sur le monitoring effectué par TMG, une sorte de reverse-engineering de la méthode TMG.

P2P, bittorrent et scraping

Le protocole BitTorrent est basé (dans sa version primaire) sur des trackers, des serveurs centraux qui recensent les clients qui partagent et téléchargent des bouts de fichiers, et qui les fournit en adresses IP fraîches de clients partageant les même fichiers. Une architecture sur serveur central, pour faire simple. Un protocole a été ensuite implémenté pour éviter l'emploi d'un tracker central, DHT, mais je ne l'aborderai pas dans cet article. Le protocole BitTorrent est public, et détaillé notamment dans cette page. Les requêtes que le tracker reçoit sont basées sur le protocole HTTP, (méthode GET) et permettent de notifier le tracker de différents évènements: début du partage, arrêt du partage, téléchargement terminé, etc. Il est facile de faire croire au tracker tout et n'importe quoi, ce qu'a tenté de faire d'ailleurs l'outil seedfuck, bien que le paramètre ip qu'il fournissait lors d'une announce n'est dans la grande majorité des cas pas pris en considération.

Une fonctionnalité "standard" d'un tracker consiste à retourner les statistiques d'un torrent, ou de tous par défaut: on appelle cela le "scraping". Une url de "scrape" est généralement disponible, et fournit une liste "bencodée" de tous les torrents partagés à un instant t, avec pour chacun d'entre eux le nombre de seeders et de leechers, et l'infohash. L'infohash est un hash sha1 identifiant de manière unique un torrent. Autrement dit, on dispose d'un moyen facile de lister les torrents partagés par un tracker.

Scrape + announce = gotcha !

Mon premier objectif fut de trouver un torrent partagé monitoré par TMG. Pour cela, j'ai tout simplement pris quelques trackers BitTorrent bien connus, récupéré les informations de "scrape" pour chacun d'entre eux, puis annoncé en boucle pour chaque torrent de manière à lister la totalité des adresses IP partageant le torrent. Je me suis basé sur une liste de plage d'adresses IP connues pour appartenir à TMG:

86.198.25.128-191
91.189.104.0-254
193.105.197.0-254
193.107.240.0-254
195.191.244.0-254

J'ai bien sûr réalisé cela à l'aide de scripts python, et j'ai pu obtenir le résultat suivant sur le tracker nemesis.1337x.org:

[!] Caught IP 91.189.110.91 looking for 4d95c0174d703a841502d9c104b5886cc598b33e
[!] Caught IP 91.189.109.86 looking for 4d95c0174d703a841502d9c104b5886cc598b33e
[!] Caught IP 91.189.109.87 looking for 4d95c0174d703a841502d9c104b5886cc598b33e
[!] Caught IP 91.189.110.11 looking for 4d95c0174d703a841502d9c104b5886cc598b33e
[!] Caught IP 91.189.110.52 looking for 4d95c0174d703a841502d9c104b5886cc598b33e
[!] Caught IP 91.189.110.202 looking for 4d95c0174d703a841502d9c104b5886cc598b33e
[!] Caught IP 91.189.110.201 looking for bed3e7891eaf563bd5f7767e9a071c2b752142ae
[!] Caught IP 91.189.110.12 looking for bed3e7891eaf563bd5f7767e9a071c2b752142ae
[!] Caught IP 91.189.110.202 looking for bed3e7891eaf563bd5f7767e9a071c2b752142ae
[!] Caught IP 91.189.110.92 looking for e4c7b3988286c88841c37378a4c66f4fbf336fdc
[!] Caught IP 91.189.109.87 looking for e4c7b3988286c88841c37378a4c66f4fbf336fdc
[!] Caught IP 91.189.110.91 looking for e4c7b3988286c88841c37378a4c66f4fbf336fdc
[!] Caught IP 91.189.110.11 looking for e4c7b3988286c88841c37378a4c66f4fbf336fdc

J'ai fait la même chose sur le tracker tracker.istole.it, et obtenu les résultats suivants:

[!] Caught IP 91.189.110.11 looking for 7a774e27ab4910c0f73e2f7f1fc0ea94031d9f5d
[!] Caught IP 91.189.109.87 looking for f122d9ed9f0325c275d6cfc14763f5b1fe850cf2
[!] Caught IP 91.189.110.51 looking for f122d9ed9f0325c275d6cfc14763f5b1fe850cf2
[!] Caught IP 91.189.110.202 looking for b23dd863509eb8f7bb823876401bca822e29533e
[!] Caught IP 91.189.110.92 looking for 7d59a5eb848c053578009693efb03b37120cedcf
[!] Caught IP 91.189.109.87 looking for 7d59a5eb848c053578009693efb03b37120cedcf
[!] Caught IP 91.189.110.51 looking for 11ae759e03c31042f1445d1431daf28e766e6a67
[!] Caught IP 91.189.110.12 looking for 11ae759e03c31042f1445d1431daf28e766e6a67
[!] Caught IP 91.189.109.86 looking for c8b51778582ef41cac3988e62a3c140a269c39e5
[!] Caught IP 91.189.110.51 looking for c8b51778582ef41cac3988e62a3c140a269c39e5
[!] Caught IP 91.189.109.87 looking for c8b51778582ef41cac3988e62a3c140a269c39e5
[!] Caught IP 91.189.110.11 looking for c8b51778582ef41cac3988e62a3c140a269c39e5
[!] Caught IP 91.189.110.12 looking for c8b51778582ef41cac3988e62a3c140a269c39e5
[!] Caught IP 91.189.110.91 looking for c8b51778582ef41cac3988e62a3c140a269c39e5
[!] Caught IP 91.189.109.86 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.11 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.12 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.91 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.201 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.51 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.109.87 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.92 looking for f6dc16658e13a14e7834dd1d21ed9eca1e772ca9
[!] Caught IP 91.189.110.91 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.92 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.201 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.202 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.109.86 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.109.87 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.11 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.12 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.51 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.52 looking for c17b92df1e0692cb986e0f4fe0ddf9b44d32cb4f
[!] Caught IP 91.189.110.52 looking for 190e32ba25ef1212c0907d5674e950d3c909ad87
[!] Caught IP 91.189.110.91 looking for 190e32ba25ef1212c0907d5674e950d3c909ad87
[!] Caught IP 91.189.109.86 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.11 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.12 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.51 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.52 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.91 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.92 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.201 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.110.202 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.109.87 looking for f668398a77aa82a93062ffd41b3499d389be3559
[!] Caught IP 91.189.109.86 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.12 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.51 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.52 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.91 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.92 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.201 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.110.202 looking for 380ac2b8676bd9dc2d2a8c675e17c953adf586c6
[!] Caught IP 91.189.109.86 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.109.87 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.11 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.12 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.51 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.52 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.91 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.92 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.201 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.202 looking for 812c7cc1c70c837b1322bea33bd76153df5a4492
[!] Caught IP 91.189.110.11 looking for 9ffffa58a027760549f68302c8b51fb0417d42d0
[!] Caught IP 91.189.110.12 looking for 9ffffa58a027760549f68302c8b51fb0417d42d0
[!] Caught IP 91.189.110.51 looking for 9ffffa58a027760549f68302c8b51fb0417d42d0
[!] Caught IP 91.189.110.201 looking for 9ffffa58a027760549f68302c8b51fb0417d42d0
[!] Caught IP 91.189.109.86 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.109.87 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.11 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.12 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.51 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.52 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.91 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.92 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.201 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.110.202 looking for d51213793f9f754fb76b123ac3264f310a116d77
[!] Caught IP 91.189.109.86 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.109.87 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.11 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.51 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.52 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.91 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.92 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.201 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.110.202 looking for 693f19f1bfbe1b46c29bf3f6b4219d02ab2e86c9
[!] Caught IP 91.189.109.86 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.109.87 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.11 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.12 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.51 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.52 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.91 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.201 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.110.202 looking for 08aac90fa40a23f652744ce73db1dc6183e35569
[!] Caught IP 91.189.109.86 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.110.11 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.110.12 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.110.51 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.110.52 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.110.201 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.110.202 looking for 809f9c4dec160e8dca6bfd1835ff3feff242fcfe
[!] Caught IP 91.189.109.86 looking for 0ade14a7f20c1352280ecf0f733a07db85a69749
[!] Caught IP 91.189.110.11 looking for 0ade14a7f20c1352280ecf0f733a07db85a69749
[!] Caught IP 91.189.110.52 looking for 0ade14a7f20c1352280ecf0f733a07db85a69749
[!] Caught IP 91.189.110.201 looking for 0ade14a7f20c1352280ecf0f733a07db85a69749
[!] Caught IP 91.189.110.202 looking for 0ade14a7f20c1352280ecf0f733a07db85a69749
[!] Caught IP 91.189.109.86 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.109.87 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.11 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.12 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.51 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.52 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.91 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.92 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.201 looking for e8bbf584eb99f2c6a084e74bd7e65edbc21c542f
[!] Caught IP 91.189.110.52 looking for b7ab64b8d33e87a77b219a48383807f7f9c40d5b
[!] Caught IP 91.189.110.91 looking for 12c8151c59f0602f0f0f64bd9e28bc48c8f3a4c1
[!] Caught IP 91.189.109.86 looking for 761b5f8df254f38bcbc25e465d2dda987243aed6
[!] Caught IP 91.189.109.87 looking for 761b5f8df254f38bcbc25e465d2dda987243aed6
[!] Caught IP 91.189.110.51 looking for 761b5f8df254f38bcbc25e465d2dda987243aed6
[!] Caught IP 91.189.110.202 looking for 761b5f8df254f38bcbc25e465d2dda987243aed6
[!] Caught IP 91.189.109.86 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.109.87 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.11 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.12 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.51 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.52 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.91 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.92 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.201 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.110.202 looking for a98752c88f94f59257288a0a507861cda7d739a3
[!] Caught IP 91.189.109.86 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.109.87 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.11 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.12 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.51 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.52 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.91 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.92 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.201 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.110.202 looking for b468654c5fc56139c8e5b836c1094f5126002b98
[!] Caught IP 91.189.109.86 looking for 46c5e2a910ff426cc8a7b5921dfa75c976c2bc4e
[!] Caught IP 91.189.109.87 looking for 46c5e2a910ff426cc8a7b5921dfa75c976c2bc4e
[!] Caught IP 91.189.110.52 looking for 46c5e2a910ff426cc8a7b5921dfa75c976c2bc4e
[!] Caught IP 91.189.110.92 looking for 46c5e2a910ff426cc8a7b5921dfa75c976c2bc4e
[!] Caught IP 91.189.110.201 looking for 46c5e2a910ff426cc8a7b5921dfa75c976c2bc4e
[!] Caught IP 91.189.110.202 looking for 46c5e2a910ff426cc8a7b5921dfa75c976c2bc4e
[!] Caught IP 91.189.110.12 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.110.51 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.110.52 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.110.91 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.110.92 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.110.201 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.110.202 looking for 43c51ef24a6e4945078fd02294bab40471b5143f
[!] Caught IP 91.189.109.86 looking for 16a0dfe5452a98be587695a04e2c7f0f393d56d3
[!] Caught IP 91.189.109.87 looking for 16a0dfe5452a98be587695a04e2c7f0f393d56d3
[!] Caught IP 91.189.110.12 looking for 16a0dfe5452a98be587695a04e2c7f0f393d56d3
[!] Caught IP 91.189.110.52 looking for 16a0dfe5452a98be587695a04e2c7f0f393d56d3
[!] Caught IP 91.189.110.201 looking for 16a0dfe5452a98be587695a04e2c7f0f393d56d3
[!] Caught IP 91.189.110.202 looking for 16a0dfe5452a98be587695a04e2c7f0f393d56d3
[!] Caught IP 91.189.109.86 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.109.87 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.11 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.12 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.51 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.52 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.91 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.92 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.201 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.110.202 looking for facf75eede72b14f726e97c558bce15b44b70fc1
[!] Caught IP 91.189.109.86 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.109.87 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.11 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.12 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.51 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.52 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.91 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.92 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.201 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.110.202 looking for 319d1c211fd19c092e3aac17d98c1738b6d5857d
[!] Caught IP 91.189.109.86 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.109.87 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.110.11 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.110.12 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.110.52 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.110.92 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.110.201 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.110.202 looking for 91aa23bb0a77e4b190c2d9f280c90f5a2eb221ff
[!] Caught IP 91.189.109.86 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.109.87 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.11 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.12 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.51 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.52 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.91 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.92 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.201 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.110.202 looking for 39ed384cf82cc65a18017beb8096fb2bea175d25
[!] Caught IP 91.189.109.86 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.11 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.12 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.51 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.52 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.92 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.201 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.110.202 looking for f354102f3ad4052ee9b255f15e5db0197cb78812
[!] Caught IP 91.189.109.86 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.109.87 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.109.87 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.11 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.12 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.51 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.52 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.91 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.92 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.201 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.110.202 looking for 63fb59071f3df9508b000422339f99d1952f2af6
[!] Caught IP 91.189.109.86 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.109.86 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.109.87 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.11 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.11 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.12 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.51 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.52 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.52 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.91 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.91 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.92 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.92 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.201 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.201 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.110.202 looking for 4c3f2503650ed383373c9d5bffe33549347237f0
[!] Caught IP 91.189.109.86 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.109.87 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.11 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.12 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.51 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.52 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.91 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.92 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.201 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.110.202 looking for 371cf7b949cad6f2ed8db1430eb4764cf37bff3c
[!] Caught IP 91.189.109.86 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.109.87 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.11 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.11 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.12 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.12 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.51 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.52 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.52 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.91 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.91 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.92 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.92 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.201 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.202 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.110.202 looking for 709b7fc30414f42befa57037f6cbe8b49af29edb
[!] Caught IP 91.189.109.86 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.109.87 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.11 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.12 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.51 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.52 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.91 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.92 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.110.202 looking for 54ca6cb69f3d96e407480a1e3064bc7e412aa082
[!] Caught IP 91.189.109.86 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.109.87 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.11 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.12 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.51 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.52 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.91 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.92 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.201 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.110.202 looking for 260ffb3f981d272d4730dc47e679dd90424b507d
[!] Caught IP 91.189.109.86 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.11 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.12 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.51 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.91 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.92 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.201 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.110.202 looking for 326b11ad25fc2f3f661a3991e64db1b2829e8c64
[!] Caught IP 91.189.109.86 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.109.87 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.11 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.12 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.51 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.52 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.91 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.92 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.201 looking for 04cda7e64899f1acfa35b26bca93546eddc39460
[!] Caught IP 91.189.110.202 looking for 04cda7e64899f1acfa35b26bca93546eddc39460

Jusque là, tout s'est déroulé comme prévu. Au passage, on notera que TMG ne masque toujours pas ses adresses IP, et reste facilement détectable. J'ai essayé de savoir quels étaient ces fichiers monitorés, en recherchant le nom du torrent à partir de leur infohash:

The.Way.Back.2010.1080p.MKV.x264.AC3.DTS.NLSubs-DMT
Gnomeo.and.Juliet.2011.TS.XViD-Rx
T.K.S.CR-xvid_MC8..avi
The.Kings.Speech.2010.1080p.AC3.DTS.Eng.Spa.NLSubs-DMT
Gnomeo & Juliet 2011 TS XviD Feel-Free
The.Kings.Speech.2010.NTSC.DVDSCR.WS.DD5.1.NLSubs-DMT
The.Kings.Speech.2010.BDRip.XviD-AMIABLE
Gnomeo.And.Juliet.2011.TS.XViD-BoNkErS
The Kings.Speech.2010.DVDSCR.XviD.AC3-NYDIC
The.Kings.Speech.2010.BDRip.XviD-AMIABLE
Gnomeo & Juliet 2011 TS XViD - IMAGiNE
The Kings Speech 2010 720p WEBSCR AC3 XViD - IMAGiNE
The Way Back 2010 BRRiP XviD AbSurdity
The Way Back 2010 BRRip XviD AC3-SANTi
The King's Speech (2010), DVDSCR(xvid)
Neds.2010.READNFO.DVDSCR.XViD-T0XiC-iNK
The King's Speech (2011) DVD5 Promo (Custom NLSubs)NLT Release
The.Way.Back.2010.BRRip.Xvid *1337x*-Noir
Battle.Los.Angeles.2011.FRENCH.R5.MD.XViD-SERUM
Insidious 2011 CAM XVID READ NFO LKRG
The King's Speech (2010).mkv
The.Way.Back.2010.BR2DVD.DD5.1.NLSubs-DMT
The.Real.Kings.Speech.DOCU.WS.PDTV.XviD-aAF
The.Way.Back.2010.PPV2DVD.DD2.0.NLSubs-DMT
The Way Back 2010 TS XViD
The.Way.Back.2010.TS.x264.Feel-Free
Gnomeo.And.Juliet.2011.TS.XviD-PRESTiGE
The King's Speech - soundtrack
The.Way.Back.2010.TS.PAL.DD2.0.NLSubs-DMT
The King's Speech (2011) ENG R5 - MDMA
The Kings Speech 2010 BRRip 720p-SKRAPY
The.Way.Back.2010.TS.XViD.AC3.HC-Subs.Hive-CM8
The King's Speech (2010)_allmovieslink.com
The Way Back (2010) ENG BDRip GoldTime-Studio.avi
The.Kings.Speech.2010.720p.WEBSCR.XviD.AC3-TiMPE.avi
Battle of Los Angeles 2011 FRENCH R5 MD XViD SERUM
The King's Speech (2011) TS XViD - IMAGiNE [NoRar]
The Way Back 2010 BRRip XvidHD 720p-NPW

Donc pour faire court, 4 films ressortent de cette analyse: - The King's Speech (Le discours d'un roi) - The Way Back (Les chemins de la liberté) - Gnomeo & Juliet (Gnoméo et Juliette) - Battle of Los Angeles

Dans tous ces torrents, seuls 2 sont en français. Et pourtant j'ai analysé des milliers de torrents ... Etonnant non ? A noter que TMG effectue aussi des relevés en Grande-Bretagne, d'où la présence de films anglophones je suppose.

Tentative de piège

Ce que je trouve bizarre, c'est le peu de fichiers français partagés ! Si j'étais TMG, je chercherai à identifier rapidement les IPs françaises qui partagent un fichier torrent ! J'ai donc décidé de tenter de piéger les systèmes de monitoring, en annonçant aux trackers que je partage plusieurs fichiers monitorés. J'ai créé en parallèle une socket qui attend le handshake BitTorrent, et qui vérifie l'IP de provenance.

Première surprise, les trackers me retournent plusieurs adresses IP appartenant à TMG, mais avec un numéro de port à 0... De là, deux solutions: soit le client gère le chiffrement, soit il écoute réellement sur le port 0. J'ai vérifié le cas du chiffrement, et ce n'est pas le cas. La seule explication possible: le système de monitoring annonce écouter sur le port 0 pour éviter que tout autre client puisse se connecter dessus (cela provoque une erreur système). Ou peut-être un moyen facile de détecter ses propres systèmes de monitoring.

Seconde surprise, après plusieurs nuits de piégeage, absolument aucune adresse IP de TMG n'est venu frapper à ma box ! Et c'est pas faute de les avoir attirées... J'étais un peu perdu... Beaucoup de films en langue anglaise, très peu en français ... cela sentait le louche. Je décidais d'en savoir plus en recherchant parmi les torrents partagés sur un tracker, quels étaient ceux français monitorés. J'ai donc encore une fois conçu un script analysant les torrents partagés sur les trackers, et voici quelques exemples de fichiers identifiés:

68e5431847aadcae23ceb5cedbd2a358f78144e8: RIEN.A.DECLARER.2011.FRENCH.TS.MD.REPACK.BY49.AVI
 92005a4cca98d5f885c4942bd963c121b3668cb8: FAST.AND.FURIOUS.5.RIO.HEIST.2011.FRENCH.TS.MD.REPACK.1CD.XVID-RESOLUTION
 b133fd60b92626c933ae0fd6ce19e83c0fd46a77: RIEN.A.DECLARER.FRENCH.DVDRIP.XVID-AYMO
 b7c5ce1fdc648f23234e69c64f4d44311294e149: THE.BORGIAS.S01E06.THE.FRENCH.KING.HDTV.XVID-FQM.[VTV].AVI
 4c8bebf8b813c2a54fb925441b0ccbc990f51f0d: SANCTUM.2011.FRENCH.DVDRIP.XVID-JULIEN333
 df0963ef353b5d75d81b890c1d8a4c2773d287d6: FAST.AND.FURIOUS.5.RIO.HEIST.2011.FRENCH.TS.MD.XVID-RESOLUTION
 74da1dc223340a808eb47258f59c190157057f68: L.AVOCAT.FRENCH.DVDRIP.XVID-AYMO (SMART)
 d9218e396a50f2b530b95dd8a06e9e38c06d991d: HALL.PASS.2011.FRENCH.BRRIP.XVID-LKT.AVI
 2083545ee1b1702c670b33af2effc2c99ec4b121: BATTLE.LOS.ANGELES FRENCH.BDRIP.XVID-AYMO
 08afa827a1952c3e7d44277a886be78f255e5f3a: THOR.2011.TRUEFRENCH.TS.MD.XVID-RESOLUTION
 988d7513499cf1a5e55da0f16ed0bb763e5008f9: DESPICABLE.ME.2010.FRENCH.DVDRIP.XVID-SSL
 33a6c1ed0efc0a5a1c155754b38cafd40fc4a8a2: THOR.2011.TRUEFRENCH.TS.MD.REPACK.1CD.XVID-RESOLUTION
 2b9c3cc81cf17a73334c4bae27d928980cd4dc70: THE TOURIST.FRENCH.DVDRIP.XVID-NERD
 b6987e90cb0b2d0f26fcf5c2716e2c3f10576e18: PIRATES DES CARAIBES - TRILOGIE - FRENCH - DIVX
 3761e005513fafff7bfac4ec8dd57eb2a6a4a870: LE.FILS.A.JO.2010.FRENCH.DVDRIP.XVID-STVFRVTW777
 722f3f4354161c6006f6dc58e04645377dc5315b: I,AM.NUMBER-FOUR.FRENCH.DVDRIP.XVID-NERD
 7ce8a6f96e067999398ee43d65604deccedaa6eb: 600.KG.D.OR.PUR.2010.FRENCH.DVDRIP.XVID-FICTION
 512a461466f64d30db49e52bbce1209a5d26c299: LES.PETITS.MOUCHOIRS.2010.FRENCH.DVDRIP.REPACK.1CD.XVID.AVI
 088d485fd9cf879eeedc0287a034fba8de94d363: A.BOUT.PORTANT.FRENCH.BDRIP.XVID-AYMO
 668fb65e07d1b9249a20957cd7dff5db0bebad31: DRIVE.ANGRY.FRENCH.DVDRIP.XVID-AYMO.AVI
 30da152a7899883e56a90a5f86d2a803e845a51d: LA.TRAQUE.2010.FRENCH.DVDRIP.XVID-SLIM
 1cfbd2139cbab7a05981f037f9b2afc94d5c5454: RIO.2011.FRENCH.R5.MD.REPACK.1CD.XVID-RESOLUTION
 d4d1e9bf88ebc4a576b94bb6dec91329bd6bdc20: THE GREEN.HORNET.2011.FRENCH.DVDRIP.XVID-FWD
 89ef6b88a62406be5ba27c5d8d6bfe9f08d96845: LARGO.WINCH.2.2011.TRUEFRENCH.R5.MD.XVID-ADDICTED
 c35125a2fca887fa752b727b0ade441a1a68a16f: LE NOM.DES.GENS.2011.FRENCH.DVDRIP.XVID-FICTION.AVI
 33810ad67073c729020d9a3a38efa69dac3c96c3: UNSTOPPABLE 2010 TRUEFRENCH R5 MD XVID-SERENITY
 e9b3c5fdc48e8ab954a1b0e991a422a5c58622e9: TWILIGHT.3.HESITATION.TRUEFRENCH.DVDRIP.XVID.AC3-FWD.AVI
 e1ebd9fa7c48bfa396909e216432fe9bb600dda1: FAST.AND.FURIOUS.5.RIO.HEIST.2011.FRENCH.TS.MD.XVID-RESOLUTION
 fc39a23e6b39fc7ce6f7e851d6e6400771272566: LES.REBELLES.DE.LA.FORET.3.2010.TRUEFRENCH.DVDRIP.XVID-FWD.AVI
 cb7f901518083a8048d0a1f04e2a16d4357f9507: HARRY POTTER 7.1 ET LES RELIQUES DE LA MORT FRENCH BRRIP XVID AC3 [CONDOM BE].AVI

Là dedans, aucun fichier monitoré par TMG ... C'est à y perdre son latin ! Toutes les dernières grosses productions ... non surveillées ?! Bon, il y a bien un ou deux films surveillés dans cette liste:

[TRACKED !] e8bbf584eb99f2c6a084e74bd7e65edbc21c542f: BATTLE.LOS.ANGELES.2011.FRENCH.R5.MD.XVID-SERUM
[TRACKED !] 260ffb3f981d272d4730dc47e679dd90424b507d: BATTLE OF LOS ANGELES 2011 FRENCH R5 MD XVID SERUM

Allons bon, encore ce "Battle Los Angeles" ... Un seul film surveillé sur les quelques centaines de films en français partagés ?? Naaaan désolé mais ça je n'y crois pas.

WTFBBQ ?!!

Si on résume:

• TMG utilise encore ses adresses IP en clair et ne passe (a priori, je me trompe peut-être) pas par des VPNs
• Un nombre limité de films en français (1 à ce jour) ont pu être identifié (phear)
• Aucune adresse IP de TMG ne s'est connecté chez moi pour savoir si je partageais un fichier surveillé

J'en tire deux conclusions probables:

• soit TMG utilise désormais des VPNs et je n'ai pas pu matcher ces adresses et donc je suis bon pour tout refaire (mais dans ce cas pourquoi annoncer avec les IPs connues ?)
• soit TMG a stoppé son monitoring, ou l'a clairement restreint

J'avoue que je penche plus pour la seconde, la première étant à mes yeux un non-sens. TMG aurait-elle pris des mesures suite au passage de la CNIL ? La CNIL a-t-elle mis un stop à TMG ? Peut-être des réponses à venir ...

<article49|flattr>

J'adore Babozor et La Grotte du Barbu (LGDB). J'aime aussi les t-shirts qu'il propose, et toutes les vidéos (ok, quasi toutes) qu'il a mis en ligne. Je dis ça car bon, le sujet de cet article est bien sûr de parler encore un peu de forensic, et en particulier des techniques de floutage/masquage disponibles pour anonymiser des photos/images, dont une employée par Babozor lors de la publication de photos relatives à l'envoi de ses t-shirts. Babozor, si tu me lis, n'y vois aucune atteinte personnelle, juste une curiosité de geek :)

La curiosité est un vilain défaut

J'ai beau le savoir, ce n'est pas pour autant que je peux m'empêcher de l'être. Certains diront que c'est la nature même du hacker, d'autres que c'est du voyeurisme ou je ne sais quoi d'autre. Et c'est donc en lisant sur le site de LGDB un billet montrant le travail de fourmi de Babozor (100 t-shirts tout de même, dédicacés et envoyés ou livrés à vélo !) que j'aperçus une photo avec du texte flouté, un nom et prénom, un bout d'adresse, mais le code postal et le début du nom de la ville en clair. Cela a suffit à éveiller ma curiosité.

J'ai donc entrepris de retrouver le barbu destinataire de ce t-shirt #36, en partant des quelques informations fournies:

• code postal: 79240
• ville: l'ab???? (manque la fin du nom)

Une rapide recherche sur Google m'a permis de retrouver le nom de la ville: L'ABSIE (79240).

Amélioration de la netteté

L'image en tant que telle a été altérée, afin d'éviter que quelqu'un retrouve l'identité du destinataire, ainsi que son adresse personnelle. J'ai donc entrepris de la retoucher avec GIMP afin d'améliorer la netteté, et espérer pouvoir en tirer quelque-chose. J'ai donc appliqué différents filtres GIMP, et bizarrement l'outil d'amélioration de désentrelacement a été d'un secours précieux. Celui-ci a réussi à améliorer la netteté du nom du destinataire, bien que celui-ci reste toujours illisible:

Néanmoins, avec un peu de recul, le prénom est aisément devinable (éloignez votre nez de l'écran, et observez attentivement le premier mot): Ludovic. Il s'agit ici du prénom, et pas du nom. Les trois premières lettres du nom de famille sont de même identifiables: MOR. C'est déjà un bon début !

Quant à l'adresse, elle est franchement illisible, sauf le numéro, qui peut a priori être 41 ou 47. Ce numéro étant dégradé, la distinction est dure à faire entre le 1 et le 7, donc on conserve ces deux possibilités. La structure du nom de la rue est la suivante: 4[1|7] XXX YY ZZZZZZZ. Le nom de la rue est totalement illisible.

Identification de la rue

Pour éclaircir tout cela, j'ai réalisé une petite recherche sur Google pour lister l'ensemble des rues de L'Absie à la recherche de noms de rue suivant ce format. J'ai trouvé une image contenant l'ensemble des rues, qui m'a ainsi servie de point de départ.

Parmi ces rues, seules 7 suivent ce motif:

• Rue de l'Audonnerie
• Rue du Calvaire
• Rue du College
• Rue des ecoliers
• Rue des Fleurs
• Rue de ***
• Rue de Plaisance

Heureusement que L'Absie est un village, sinon cela aurait été plus laborieux. Je me suis ensuite connecté sur le site des pages blanches, et à partir de là j'ai saisi dans le champ "Où ?" le nom de la ville suivi du nom de chaque rue, l'une après l'autre. Pour chaque rue, j'ai cherché la présence d'un numéro 41 ou 47, et j'ai finalement trouvé une correspondance:

Il s'agit d'un certain M. Morisset Dominique,résidant à L'Absie. Le nom commence bien par "MOR", il semblerait que l'on soit sur la bonne voie. Par contre, pas de trace de Ludovic. Qu'à cela ne tienne, on peut supposer que son nom est "Morisset", ce qui nous donne son identité. A partir de là, une recherche sur cette personne s'impose.

Identification du destinataire mystère

A l'aide de Google, une rapide recherche avec comme mots clefs le nom et le prénom du supposé destinataire nous mène vers un profil LinkedIn (notamment):

Il est indiqué que Ludovic Morisset travaille à Paris, ce qui est loin, très loin de L'Absie. Cependant, une référence à L'Absie est présente dans son profil:

De plus, il travaille dans les domaines de l'électronique, et est intéressé par l'informatique et les NTICs, ce qui en fait un geek. Pour terminer, il a un compte twitter, a déjà twitter à propos du déménagement de la grotte, et possède @lagrottedubarbu dans une de ses listes:

Floutage ou Noirrage ? Que flouter ?

Ces deux questions, les auteurs voulant diffuser des photos contenant des informations personnelles doivent se les poser. Il est d'ailleurs ironique de voir que dans ce présent article, aucun floutage ni autres précautions n'ont été prises pour masquer les informations personnelles. Toutes celles mentionnées ici sont publiquement exposées, et la personne concernée n'a rien fait pour les masquer.

Le floutage c'est bien, mais quand on oublie pas de flouter quelques éléments. Dans le cas présent, le code postal a été le seul véritable point de départ, tout comme le nom de la ville. Flouter c'est bien, mais le faire correctement, c'est mieux. Plusieurs solutions s'offrent à vous: pixelisation, tourbillon magique, flou gaussien, etc... La pixelisation est efficace, mais que si elle est réalisée proprement, avec un grain final beaucoup plus gros que l'original. Le tourbillon magique de toshop, on oublie, tout comme le flou gaussien. Si vous tenez absolument à ce que l'on ne puisse pas lire d'informations, noircissez celle-ci directement dans l'image.

Conclusion

Pour terminer cet article, je tiens tout d'abord à présenter mes excuses au sieur Ludovic Morisset pour avoir mentionné des informations publiques tirées de ses profils (publics) et des données délivrées par les pages blanches (publiques, toujours). S'il lit cet article et qu'il souhaite faire retirer des informations, voire l'article lui-même, je le ferai sans problème. Je tiens aussi à m'excuser d'avance auprès de Babozor et des barbus fidèles à son podcast (dont je fais partie), il s'agit principalement de démontrer que l'on ne peut pas flouter à la légère des informations, bien que dans le cas présent celles-ci n'aient pas grand intérêt, si ce n'est illustrer la méthode de recherche et les résultats obtenus.

Il s'agit donc d'un semi-fail, mais qui aboutira j'en suis sûr à un win pour le prochain coup, n'est-ce pas Babozor ;) ?