Sexy Sushi sort pour la première fois en vinyle l’album Tu l’As Bien Mérité !
Les précommandes seront disponibles le 4 juin, sur Bandcamp. Pour fêter cette nouvelle, SEXY SUSHI sort La Politesse , un titre inédit, composé en 1978. Le groupe ne se reforme pas, il vous fait un cadeau :
▻https://www.youtube.com/watch?v=JMoz3txkrNs
Allez, pour le plaisir, puisque tu le partageais en 2023 ici ▻https://seenthis.net/messages/998239 et que c’est un peu le tube que réclame le petiot dans le cams ou pour sa playlist d’anniversaire...
En live au festival Panorama à Morlaix :
▻https://www.youtube.com/watch?v=sc0sJ8F1aoQ
À noter la mention spéciale juste à la fin ^^
Pour écouter Sexy Sushi en live, c’est mort. Par contre Rebeka Warrior et son comparse Vitalic au sein de Kompromat sont en tournée perpétuelle.
▻https://kompromat-official.bandcamp.com
Filmé le 26 octobre 2024 à la Gaîté Lyrique, Paris.
▻https://www.youtube.com/watch?v=4B5cTzCw9JQ
+1 pour Kompromat, qui m’a mis un grosse claque quand j’ai découvert le premier album, on les a vu en live à Brest cet hiver, juste un peu déçu par la durée trop courte du set.
Improved ways to operate a rude #crawler marginalia.nu
▻https://www.marginalia.nu/log/a_115_rude_crawler
Tech news is abuzz with rude AI crawlers that forge their user-agent and ignore robots.txt. In my opinion, if this is all the AI startups can muster, they’re losing their touch. wget can do this. You need to up your game, get that crawler really rolling coal. Flagrant disregard for externalities is an important signal to the investors that your AI startup is the one.
In that spirit, here are some advanced tips on how to be a much worse netizen.
En lien avec ▻https://seenthis.net/messages/1104052
#Signature #PDF - Signer et manipuler des PDF en ligne librement
▻https://pdf.24eme.fr
Logiciel libre pour signer et manipuler des PDF
Free web software for signing (alone or with others), organizing (merge, sort, rotate, delete, extract pages, ...), editing metadatas or compressing PDFs.
Pour faire suite à ▻https://seenthis.net/messages/1073600 mais cette fois le stack est moins lourd cf ▻https://github.com/24eme/signaturepdf/blob/master/installation.md et il y a quelques instances hébergées chez des #CHATONS
#Leaflet 2.0 Alpha released - Leaflet - a JavaScript library for interactive maps
▻https://leafletjs.com/2025/05/18/leaflet-2.0.0-alpha.html
Ha ben mince, moi qui me disait qu’il était temps de basculer le plugin #GIS pour #SPIP ▻https://plugins.spip.net/gis vers #maplibre ▻https://maplibre.org/maplibre-gl-js/docs il va falloir faire un choix...
After two and a half years of hard work, we’re thrilled to announce the first alpha release of Leaflet 2.0!
This release marks a major modernization of the Leaflet codebase. We’ve dropped support for Internet Explorer, removed legacy methods and polyfills, adopted modern standards like Pointer Events, and now publish Leaflet as an ESM module. The global L is no longer part of the core package (though it’s still available in the bundled version leaflet-global.js for backward compatibility).
#map
Unhappy with the recently lost file upload feature in the Nextcloud app for Android? So are we. Let us explain. - Nextcloud
▻https://nextcloud.com/blog/nextcloud-android-file-upload-issue-google
#Google is stating security concerns as a reason for revoking the permission. This is hard to believe for us. #Nextcloud has had this feature since its inception in 2016, and we have never heard about any security concerns from Google about it. Moreover, several Big Tech apps as well as Google’s own still have this. What we think: Google owning the platform means they can and are giving themselves preferential treatment.
To make it crystal clear: All of you as users have a worse Nextcloud Files client because Google wanted that.
The more tech-savvy of you are certainly able to use the alternative app store, such as #F-Droid. But for our user base of roughly one million users on the #appstore, this will hardly be an option.
Building An #Offline Friendly #Image #Upload System — Smashing Magazine
▻https://www.smashingmagazine.com/2025/04/building-offline-friendly-image-upload-system
- The user selects an image.
The process begins by letting the user select their image.
– The image is stored locally in #IndexedDB.
Next, the system checks for network connectivity. If network connectivity is available, the system uploads the image directly, avoiding unnecessary local storage usage. However, if the network is not available, the image will be stored in IndexedDB.
– The #service_worker detects when the network is restored.
With the image stored in IndexedDB, the system waits to detect when the network connection is restored to continue with the next step.
– The background sync processes pending uploads.
The moment the connection is restored, the system will try to upload the image again.
– The file is successfully uploaded.
The moment the image is uploaded, the system will remove the local copy stored in IndexedDB.
civilblur/mazanoke: A self-hosted #local #image #compressor that runs in your browser.
▻https://github.com/civilblur/mazanoke
A self-hosted local image compressor that runs in your browser.
🚀 Compress & Convert Images Instantly In Your Browser
Adjust image quality (0-100%).
Set a target file size.
Set max dimensions, to not exceed a certain width/height.
Convert between JPG, PNG, and WebP.
🌍 Installable Web App
Use as a Progressive Web App (PWA).
Dark and light mode.
Fully responsive for desktop, tablet, and mobile.
🔒 Privacy-Focused
Works offline.
All image processing happens locally.
No data is uploaded to external servers. Your files stay on your device.
We collected 470K IPv4s from a botnet that was trying to get all the content from our social network; it was behaving in such a way that we could track every single request it made. Since we blocked it, the server has been working much better; it hasn’t been running with such a low load for at least a year.
▻https://framapiaf.org/@biggrizzly/114227612269042897
Can you try to use the ipset and tell us if it works ? Reply on seenthis or on mastodon, tagging ►https://seenthis.net/people/biggrizzly or ▻https://framapiaf.org/@biggrizzly
Here is the latest file, more than 540K /32.
►https://www.partagerfichier.fr/download.php?f=2025-04-03-17-53-54_botnet-set.zip
It’s an ipset backup (►https://ipset.netfilter.org/ipset.man.html).
You can restore the file using this command line :
ipset restore -file ./botnet-set
You can declare it in iptables, using this command line :
iptables -A INPUT -m set --match-set botnet-set src -j DROP
FOSS infrastructure is under attack by AI companies
LLM scrapers are taking down FOSS projects’ infrastructure, and it’s getting worse.
Niccolò Venerandi - March 20, 2025
►https://thelibre.news/foss-infrastructure-is-under-attack-by-ai-companies
Open Source devs say AI crawlers dominate traffic, forcing blocks on entire countries
AI bots hungry for data are taking down FOSS sites by accident, but humans are fighting back.
Benj Edwards – Mar 25, 2025
►https://arstechnica.com/ai/2025/03/devs-say-ai-crawlers-dominate-traffic-forcing-blocks-on-entire-countrie
petit comptage vit’fait
j’sais pas si ça peut apporter de l’info
certaines adresses IP (très peu : un poil plus de 400) apparaissent plus d’une fois, j’imagine parce que le bot a le temps de réitérer une requête avant la mise en place du blocage
et sinon, pour un identifiant, il n’y a pas plus d’une centaine de valeurs utilisées entre 0 et 255
apparemment, il y a des tables GeoIP à télécharger pour récupérer le pays (ou la ville)…
Oui, tout à fait. Mais je doute que ça nous mène bien loin.
Je suis plus ou moins persuadé qu’il s’agit d’un botnet pirate, composé de terminaux plus ou moins compromis par un parasite logiciel plus ou moins légal. Et comme ça coûte moins cher de compromettre des IP dans les pays du sud, ils lancent les attaques depuis ces pays là. Mais j’imagine que dans nos pays, il y a le même genre de botnet, pour attaquer dans les pays du sud.
Le jour où la guerre électronique commencera vraiment, nos terminaux seront les premiers sur le front.
J’avais quelques remords à publier largement notre moisson. Parce que dire, c’est dévoiler publiquement à l’adversaire ce qu’on a découvert et mis en œuvre.
Ce matin, en regardant les journaux, le botnet semble avoir appris de ses erreurs. Et donc, il redevient impossible à discerner des vrais humains. Notre seul répits consistera à mettre en oeuvre une solution complexe à base de preuve de travail... C’est absurde.
Pour l’anecdote, j’ai une API consommée par des utilisateurs qui passe derrière un VPN. Le fournisseur nous envoie un VPN individuel. J’ai 70 utilisateurs potentiels. Je lui demande 70 accès ? Ou bien ? C’est une décision sans délai de prévenance, du jour au lendemain. Et je soupçonne que le problème de fond, c’est qu’il n’est plus possible de mettre une ressource en ligne, sans que cette ressource ne se retrouve cannibalisée.
One week later, the ipset contains 506K IPv4.
I’ve updated it, and you can download it here :
▻https://www.partagerfichier.fr/download/2025-03-31-16-46-39_botnet-set.zip
543K IPv4, download link updated :
►https://www.partagerfichier.fr/download.php?f=2025-04-03-17-53-54_botnet-set.zip
“Nous les avons frappés jusqu’à ce qu’ils s’urinent dessus”. Dans son livre, "le Jarl" revendique des violences sous contrat avec une mairie
▻https://france3-regions.francetvinfo.fr/bretagne/ille-et-vilaine/rennes/livre-du-jarl-violences-illegales-revendiquees-et-finan
▻https://france3-regions.francetvinfo.fr/image/SQYltD0jiSBTNz12MeNv2gZINF8/930x620/regions/2024/12/10/whatsapp-image-2024-12-10-at-18-42-05-67587d9bc9c487144
Le feu, Yovan Delourme l’entretient lui-même avec son ouvrage "Ça va mal finir", coécrit avec Jean-Luc Riva, ancien militaire reconverti dans l’édition de récits de guerre. En vente sur Amazon avec une avalanche d’avis 5 étoiles, les lecteurs y voient un héros, un “dernier samouraï”.
Mais derrière l’éloge se cache l’effroi. L’ouvrage raconte des scènes de violence assumée. Dans les chapitres 13 et 14 intitulés “Quand la loi ne suffit plus…”, “…l’hyperviolence devient la solution”, Yovan Delourme détaille des expéditions punitives menées en 2003 à Guémené-Penfao, petite commune entre Rennes et Nantes, à la demande - écrit-il - du maire de l’époque.
Des ados accusés de petits vols, frappés jusqu’à s’uriner dessus, enfermés dans un coffre de voiture, ramenés chez leurs parents pour être humiliés publiquement, frappés devant eux. Les parents également battus. Et cela trois nuits durant.
Pendant ce temps, le livre se vend. La situation alarme élus et experts en sécurité : succès populaire d’un récit violent, admiration décomplexée pour des pratiques illégales.
En lien avec ▻https://seenthis.net/messages/1106066 & ▻https://seenthis.net/messages/1104141
Bilan d’étape de la résistance aux fringales des IA dégénérées :
– La recherche est réactivée , réservée aux connectés
– Le pare-feu est confis de plus de 400000 adresses IP bloquées, ce qui fait chauffer le firewall comme j’ai rarement vu (ça génère de l’iowait...)
– Et en somme, tout fonctionne... jusqu’à preuve du contraire !
Merci à b_b pour son assistance :-)
Effectivement, c’est très fluide. Bravo la team !
Merci :)
(cette nuit vers 3h, impossible d’aller sur seenthis, mais je sais pas si c’est lié)
A 3h du mat’, y-a la sauvegarde de mariadb. J’ignorais que ça rendait le site injoignable. Il faudra vérifier ce qu’il se passe.
Je viens de mettre à jour l’ipset (►https://ipset.netfilter.org/ipset.man.html).
Il s’agit du regroupement de toutes les IPv4 bloquées par fail2ban.
J’ai utilisé la commande aggregate pour regrouper les blocs d’IPv4 quand cela est possible (▻https://www.systutorials.com/docs/linux/man/1-aggregate)
On obtient les effectifs suivants par cidr :
3 25
5 26
11 27
37 28
317 29
3093 30
30438 31
386535 32Mais au total, donc, nous avons ce matin 463967 adresses IPv4 bloquées par cet ipset dans iptables. Cela permet de n’avoir qu’une seule ligne à gérer dans le firewall pour bloquer toutes ces IP, ça économise quelques ressources.
Le fichier au format ipset est téléchargeable à l’adresse suivante :
▻https://www.partagerfichier.fr/download/2025-03-26-08-39-47_botnet-set.zip
D’autres personnes doivent avoir déjà ce type de ressource à disposition. N’empêche que je nous crois veinards d’avoir cette sorte de bug, dans SeenThis, qui fait qu’il a été si facile de repérer ce botnet (cf. mon autre fil à ce sujet). OK, ça fait sans doute des semaines qu’on aurait pu remarquer ces URI foireuses dans les journaux... mais comme je le dis bien trop souvent, ce serveur est trop vieux pour le connecter aux solutions de journalisation modernes !
Un ipset, ça s’utilise à priori aussi avec les solutions modernes de firewall sur Linux. Mais là, sur SeenThis, on est des vieux, et on utilise iptables.
Pour charger le fichier, on utilise la commande :ipset restore -file ./botnet-set
Pour l’ajouter dans iptables, on utilise la commande :iptables -A INPUT -m set --match-set botnet-set src -j DROP
Cette dernière ligne doit s’insérer dans la chaîne de filtrage de votre firewall, que vous connaissez mieux que moi. Elle dépend de votre système.
cette nuit vers 3h
Cette nuit à 3 heures, c’était donc @fonkisifou qui était de quart pour qu’il y ait quelqu’un d’actif sur Seenthis 24h/24 pour pouvoir réagir rapidement au dernier truc nazi posté sur Touiteur par Elon ou Donald.
🤣
Ils en postent trop, si je veux tout lire (et éventuellement partager mais vous êtes bien plus rapide que moi), j’ai plus le temps de dormir
Je pense que l’un des sites que j’administre (un site d’artisans d’art sous WP) est victime de bot IA pour voler leurs œuvres.
Si quelqu’un a une idée pour bloques ces 💩…
La liste des 460K IP est exploitable aussi sans accès au pare-feu de la machine, mais c’est moins efficace... Par exemple, dans WP Cerber, il est possible d’importer une liste d’adresses IP en liste noire. Ceci dit, je doute qu’une base de données WP supporte 460K IP. Et en plus, pas besoin d’autant de monde pour faire tomber un WP... Mais tu peux toujours essayer. Note que par défaut, les sites WP laissent les robots bourriner certaines URL (xml-rpc.php par exemple), alors qu’elles ne servent à rien d’utile et qu’il vaut mieux ne rien répondre, et griller l’IP qui bourrine. WP Cerber sait faire ce genre de choses.
Effectivement, c’est bien là que ça tape.
Ah oui. J’ai répondu sur un ou deux fils que j’ai vu passer sur Mastodon, en envoyant jusqu’à ce post ici. Le fichier des IP a été téléchargé 8 fois. C’est pas à ce rythme qu’on va sauver l’Internet des humains :-))
Là, là, l’ours traverse les frontières.
Ca continue de frapper à la porte, le botnet continue d’émettre des requêtes bidons, et de nouvelles adresses IP se font choper. Le décompte ce matin est de 475284 IPv4 à bloquer.
Le serveur n’a jamais été aussi peu sollicité que depuis que ces IP sont bloquées.
Cela mériterait de faire une étude sur l’origine de ces adresses.
Je commence par rétablir l’accès aux moteurs de recherche (actuellement 748 IP bloquées). Puis je rétablirai l’accès public à la recherche. On pourra vérifier les deux effets.
Charge processeur sur un an. L’accalmie à droite, c’est la semaine qui vient de se passer. Le serveur n’a jamais été aussi peu sollicité, comme je le disais.
C’est très confortable de pouvoir poster ou rechercher sans regarder le bousin tourner dans le vide pendant des plombes.
Est-ce que j’ai bien compris : ce que tu bloques, ce sont les IP qui appellent une URL erronée typique du crawler qui ne sait pas interpréter <base href> ?
Auquel cas ce bot aurait fabriqué son propre honey trap, ce qui serait assez rigolo…
Oui, c’est exactement ça. C’est rigolo.
Sinon, est-ce que 500 000 IP différentes ça signifie 500 000 machines ? Et d’après ce que tu as indiqué une fois, ces IP ne sont pas géolocalisées dans un seul pays (Chine), mais partout dans le monde.
Si c’est le cas, de quoi parle-t-on ? D’un service d’IA qui a des fermes de machines dans plein de pays différents ? Ou de l’utilisation d’un réseau de machines piratées (comme on le ferait pour une DDOS classique), ce qui me semble autrement plus grave.
(C’était un de mes commentaires à propos de « 6 millions de dollars » qu’aurait coûté Deepseek : c’est (au moins) en ne comptant pas les dégâts que ces crawlers infligent aux sites Web, au temps que passent les gens qui, comme toi, perdent des semaines à essayer d’éviter que leur machine soit submergée… et pour le coup, l’utilisation de 500 000 machines connectées – des fois qu’on paie pour ces machines.)
Une vraie enquête d’un journaliste spécialisé pourrait répondre à certaines de ces questions. Je pense qu’on est dans un entre deux, machines piratées, et VPS achetés dans des datacenters du monde entier.
Il faudrait, par exemple, donner à manger toutes ces IP à un ElasticSearch, avec les options d’analyses de geoip. Pas le temps de le faire. Mais si un curieux souhaite le faire, c’est la raison pour laquelle j’ai publié la liste.
J’ai rouvert la recherche en accès public tout à l’heure.
Les processeurs sont à nouveau fortement sollicités par le firewall (processus ksoftirqd).
Le botnet est toujours à la recherche de contenus et sa porte d’entrée sur SeenThis est bien le formulaire de recherche. Et comme il reste des IP non-bloquées, à chaque fois qu’il parvient à effectuer une recherche, il tente à nouveau de récupérer les pages présentes dans le résultat de la recherche.
Les non-inscrits peuvent toujours utiliser les moteurs de recherche externes, donc pour moi, c’est très bien que ça ne fonctionne que pour les inscrits.
Constatation : ça rame un peu aujourd’hui.
Si ça peut être utile :
►https://arstechnica.com/ai/2025/03/devs-say-ai-crawlers-dominate-traffic-forcing-blocks-on-entire-countrie
Software developer Xe Iaso reached a breaking point earlier this year when aggressive AI crawler traffic from Amazon overwhelmed their Git repository service, repeatedly causing instability and downtime. Despite configuring standard defensive measures—adjusting robots.txt, blocking known crawler user-agents, and filtering suspicious traffic—Iaso found that AI crawlers continued evading all attempts to stop them, spoofing user-agents and cycling through residential IP addresses as proxies.
(source : ▻https://piaille.fr/@jfmblinux@mastodon.jfmblinux.fr/114228268167821495)
Effectivement, en faisant quelques sondages à la main dans le fichier de Biggrizzly, j’ai constaté qu’il y avait énormément d’IP géolocalisées au Brésil. (Mais pas que…)
Qu’est-ce que signifie cette phrase :
use residential IP addresses as proxies
Il me semble que le seul moyen d’utiliser l’IP de quelqu’un d’autre, c’est de pirater sa machine, non ? Ou bien il y a un service (au Brésil notamment) qui permet à n’importe qui de « louer » une partie de son traffic (façon Tor) à quelqu’un d’autre. M’enfin Tor c’est déjà pas super-rapide, alors si c’est utilisé pour que des centaines de milliers de robots crawlers aspirent le Web en continu, ça ne me semble pas viable.
Il se peut que ces plages d’IP soient achetables et exploitables à d’autres fins que pour la fournir à des particuliers. Je ne suis pas suffisamment au fait de ce fonctionnement.
Il se peut aussi que les Alexa et autres GAFAM boxes puissent être utilisées depuis les lignes de leurs possesseurs. Il y a une vraie enquête à mener, pour un journaliste qui aurait du temps.
350 téléchargements depuis ce matin, mais tjs pas de retour comme quoi c’est utile ou pas. Le suspens est rude :-)
En général quand ça sert ou que ça fonctionne, personne ne dit rien, par contre si il y a des erreurs ça chouine toujours.
Peut-être que les IA ont chargé ta liste pour s’autocongratuler parce que ça leur manquait un petit merci :))
En fait, tu l’auras compris, je me demande vraiment si ce botnet est celui qui enquiquine tant de monde, ou bien si ce botnet n’a enquiquiné que nous ici sur SeenThis. Ne pas avoir de retour des autres plateformes qui délivrent du contenu humain, c’est un petit peu anxiogène (le terme est évidemment trop fort), je ne peux pas croire qu’un milliardaire ait pu décider de ne s’attaquer qu’à SeenThis et à rien d’autre.
Ceci dit, je conçois que la mise en œuvre d’un tel outil (ipset) ne soit pas naturelle, les admins Linux n’ont pas forcément l’habitude d’écrire leur script de firewall par eux même, et donc, intercaler ce fichier dans leur chaîne de filtrage, il se peut qu’ils aient quelques difficultés...
Patientons...
@biggrizzly vuex-tu que j’en cause dans ce fil du forum CHATONS ? ►https://forum.chatons.org/t/mise-a-mal-des-forges-git-par-les-indexeurs-dia/7086
Tu peux évidemment transmettre l’information. :-)
J’ai à nouveau coupé la recherche.
Les logs ce matin sont confis de ce genre de lignes :
47.243.89.37 - - [27/Mar/2025:08:31:14 +0100] "HEAD /recherche?lang=it&oc=publishedmedium%3Athe+new+york+times&tag=%23etats-unis HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3
715.131 Safari/537.36" 7.007
8.210.189.26 - - [27/Mar/2025:08:31:14 +0100] "HEAD /recherche?lang=it&oc=company%3Atwitter&tag=%23facebook HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3454.99 Safari/537.36
" 7.007
47.243.78.44 - - [27/Mar/2025:08:31:14 +0100] "HEAD /recherche?lang=it&oc=country%3Aarabie+saoudite&order=stars&tag=%23actualit%C3%A9 HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/7
4.0.3151.125 Safari/537.36" 7.006
8.218.91.49 - - [27/Mar/2025:08:31:14 +0100] "HEAD /recherche?lang=it&oc=publishedmedium%3Athe+calvert+journal&tag=%23sovi%C3%A9tisme HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/6
8.0.3228.89 Safari/537.36" 7.006
47.243.173.250 - - [27/Mar/2025:08:31:14 +0100] "HEAD /recherche?lang=it&oc=country%3Asyrie&order=stars&tag=%23crise HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3772.109 Safa
ri/537.36" 7.008
113.169.149.42 - - [27/Mar/2025:08:31:15 +0100] "HEAD /recherche?lang=it&oc=region%3Aproche-orient&order=stars HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.2673.104 Safari/537
.36" 7.008
14.226.227.212 - - [27/Mar/2025:08:31:15 +0100] "HEAD /recherche?lang=it&oc=country%3Asuisse&order=stars&tag=%23in%C3%A9galit%C3%A9s HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65
.0.2157.125 Safari/537.36" 7.007
14.191.251.98 - - [27/Mar/2025:08:31:15 +0100] "HEAD /recherche?lang=it&oc=region%3Aproche-orient&order=stars&tag=%23arabie_saoudite HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74
.0.2948.79 Safari/537.36" 7.010
14.186.27.36 - - [27/Mar/2025:08:31:15 +0100] "HEAD /recherche?lang=it&oc=country%3Achine&order=stars&tag=%23crise HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.2143.188 Safari
/537.36" 7.001
14.182.205.145 - - [27/Mar/2025:08:31:15 +0100] "HEAD /recherche?lang=it&oc=city%3Avilleneuve&tag=%23metro HTTP/1.1" 499 0 "-" "Mozilla/5.0 (Windows NT 6.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3927.130 Safari/537.36"
7.006Et j’ai l’impression que le botnet a appris à suivre les liens correctement.
Hier à 11h, j’ai rétabli la recherche en public. La charge a augmenté immédiatement.
Puis ce matin à 7h, le flux s’est accéléré, saturation à nouveau des processus FPM, erreurs 502, gateway time out, le botnet s’est mis à tenter d’exploiter correctement les URL (d’après les logs, ça commence, mais ce n’est pas encore vraiment la grosse réussite...).
Et donc, ce matin, 8h30, je coupe la recherche publique, et ça va mieux. Ouf.
@biggrizzly j’ai relayé ici ▻https://framapiaf.org/@infini/114230785785284048 et je m’en vais faire de même sur le forum des CHATONS.
L’impression qu’on tente chacun dans son coin des solutions...
Le coup du crawler « MSIE », c’est géré sur SeenThis par une mise en fail2ban quasi-immédiate. Plus personne normalement ne navigue sur Internet avec MSIE, ces navigateurs ne fonctionnent pas avec le web moderne.
J’ai tenté d’extraire les pays des IP, mais j’ai procédé de la mauvaise façon, je dois avoir grillé notre IP de l’accès aux whois pour 150 ans... Il faudrait procéder autrement... avec un serveur plus récent. C’est toujours la même histoire, on en arrive toujours à la même conclusion. :-)
je viens d’essayer « à la main » sur les 3 premières adresses en nb d’occurrences, j’obtiens Bagdad et Minais Gerais ou Porto Alegre au Brésil.
Je ne sais pas ce que ça donne en téléchargeant les BdD ad hoc (faut créer un compte…)
EDIT : sur les 10 premières (1009 accès au total) : 2 à Bagdad, les 8 autres divers États du Brésil.
Vous vous souvenez, j’ai réactivé la recherche pendant un certain temps, pour la couper à nouveau.
Hier, donc, vers 8h30, j’ai coupé la recherche. Et vers 16h30, la charge a recommencé à monter. Raisonnablement. Mais tout de même. Jusqu’à 19h, où tout est revenu à la quasi-normale.
Dans ce délai, ce sont 21000 nouvelles adresses IP qui se sont ajoutées à toutes les autres.
Quand la recherche est active, il accumule des dizaines de liens à visiter. Et il obtient apparemment de nouvelles IP à exploiter, pour faire son travail. Et il tente d’avaler les URL, donc, sous un délai de 8h.
Le botnet n’a pas encore appris de ses erreurs. Tant mieux.
SeenThis est-il un réseau social, ou bien un honeypot ?
Amha tu peux laisser la recherche bloquée, à mins que tu ne souhaites étoffer la liste d’IPs pour l’exploiter ailleurs ;)
J’ai reçu un retour positif, suite au partage de l’ipset. Un seul. Pour le moment. J’ignore si d’autres ont eu du succès, en l’exploitant. Le suspens reste entier.
Tu m’as compris, oui, je pense qu’à intervalle régulier, je vais rouvrir la recherche. Pour compléter l’ipset. On doit s’approcher des 500K IP. C’est un objectif séduisant, d’atteindre les 500K.
Philippe Catherine, on te voit !
géolocalisation des ID (trois premiers octets de l’IP v.4)
sur la version du 26/03 au soir
(ma première recherche associative sur une table d’environ 3 millions de lignes – sur 3 feuilles de calcul XL – un peu de bidouille…)
Ça confirme ce que disait l’article de Ars Technica :
►https://arstechnica.com/ai/2025/03/devs-say-ai-crawlers-dominate-traffic-forcing-blocks-on-entire-countrie
Kevin Fenzi, a member of the Fedora Pagure project’s sysadmin team, reported on his blog that the project had to block all traffic from Brazil after repeated attempts to mitigate bot traffic failed.
C’est un botnet issu des pays non-occidentaux qui ont de nombreux utilisateurs. Le Brésil est un des pays les plus développé du sud.
Bloquer le pays tout entier quand il suffit de bloquer 61K IP, c’est excessif, mais pourquoi pas.
Joli travail Simplicissimus, c’est très parlant, finalement.
C’est peut-être le Vo1d mentionné ici ▻https://thehackernews.com/2025/03/vo1d-botnets-peak-surpasses-159m.html
et tant qu’à faire (la moitié des ID du total, quand même)
mais, sans grand intérêt car ça doit être plus ou moins directement lié au nombre de machines sur le réseau…
(mais, chance !, le fond de carte des États du Brésil fait partie des quelques fonds d’exemple de Magrit ;-)
Ça répond à la question « est-ce que ce sont des connexions résidentielles ou bien des datacenters ? » Non pas qu’il ne puisse y avoir des datacenters au milieu de l’Amazonie, mais, qu’en plus ces datacenters proposent des VPS à la location, j’ai comme un doute.
Hier vers 16h30, à nouveau, jusqu’à 19h30, hausse de la charge, et 10000 nouvelles IP bloquées.
A nouveau : Hier vers 16h30, à nouveau, jusqu’à 19h30, hausse de la charge, et 10000 nouvelles IP bloquées.
J’ai mis à jour, avant ces 10K nouvelles IP, le contenu de l’ipset.
Je suis heureux de vous annoncer que nous avons dépassé les 500K IP.
5 25
5 26
10 27
43 28
397 29
3687 30
34384 31
417850 32
Cette nuit, 17h-22h, +2400 IP seulement.
NbCIDR CIDR NbIP/CIDR NbIP
5 25 128 640
5 26 64 320
21 27 32 672
103 28 16 1648
574 29 8 4592
4430 30 4 17720
37985 31 2 75970
441454 32 1 441454
TOTAL 543016
je ne suis pas sûr de comprendre ton tableau ; j’imagine que c’est lié à la gestion de l’adressage. J’ai jeté un œil sur ce que représente le CIDR (WP[en]) et je suis reparti en courant… En tous cas, je ne vois pas quel type d’information je pourrais y exploiter.
questions :
• disposes-tu d’un historique de l’arrivée des requêtes (nb de nouvelles IP collectées en f. du temps) avec une granularité pas trop grosse et régulière
• as-tu fabriqué une version plus récente de ton fichier de botnet ?
/32 = 1 seule IP 0.0.0.0
/31 = 2 IP 0.0.0.0 + 0.0.0.1
/30 = 4 IP 0.0.0.0-3
etc.
Si j’écris 10.2.3.0/30, je désigne les 4 IP de .0 à .3
Si j’écris 10.2.3.0/25 ; je désigne les 128 IP de .0 à .127
J’ai copié les logs de fail2ban des 3 dernières semaines. Je tâche d’en extraire ce qui t’intéresse dans un format exploitable.
J’ai un botnet-set à jour généré ce matin... Je vais le publier dans la journée.
Voici un fichier avec l’ensemble des blocages, par date, heure et IP (/32).
Il y a des IP qui vont apparaître plusieurs fois, parce que fail2ban plantait et recommençait à traiter les IP de zéro.
▻https://www.partagerfichier.fr/download.php?f=2025-04-03-17-47-11_blocages.log.gz
Ça commence au 14 mars, vers 21h, quand j’ai mis en œuvre la règle de détection du botnet.
merci ! pas loin de 700 000 lignes
pas sûr que je le traite tout de suite, j’ai une fin de semaine bien chargée
Même wikimedia a du mal à gérer le traffic généré par les bots de l’IA... «monde de merde»
▻https://next.ink/178942/les-crawlers-des-ia-deviennent-un-serieux-probleme-pour-le-web-meme-pour-wikim
pfff… ça rame !
je ne sais pas si c’est ST ou par chez moi, où le réseau est parfois bien pourri.
pas facile de se retrouver entre les deux billets sur le sujet ; si en plus, tu supprimes tes messages ;- )
comme dit plus haut, je ne suis pas très à l’aise avec les CIDR, mais oui, les /24, comme tu dis, sont ce que j’ai appelé les ID, il me semble que cela suffit pour assurer la correspondance des IP aux régions et c’est ça que j’ai cartographié.
j’avais utilisé les /32 (IP complètes) sur l’autre fil pour voir si les machines étaient concentrées sur un serveur /24, en fait je comptais le nombre de d utilisés dans un a.b.c pour fabriquer la distribution ▻https://seenthis.net/messages/1105923#message1106100
La dernière liste d’IP bloquées est ici :
▻https://seenthis.net/messages/1105923#message1107718
Ceci dit, la liste des blocages, les 700K lignes, est tout autant exhaustive.
Pourquoi disais-tu que ça rame ? Le serveur est vraiment en confort ces jours-ci. La charge oscille entre 0,5 et 1,5, ce qui fait que même les bots peuvent tranquillement faire leur boulot sans se faire bloquer (dès que la charge dépasse 2, et qu’ils sont reconnus comme des bots, ils sont bloqués).
Je fais l’hypothèse qu’il s’agit d’un botnet, qui se diffuse sur des terminaux compromis. Aussi, il faudrait dans l’idéal que je libère les IP au fil du temps, pour confirmer que l’IP est toujours compromise... parce que les terminaux, si ça s’trouve, changent d’IP. Et dans un tel cas, bloquer les IP n’est pas bien fiable.
Pourquoi disais-tu que ça rame ?
Apparemment, c’était chez moi.
peu de changement entre les deux situations
les cartes sont pratiquement indistingables
le Brésil garde la tête – de loin ! – mais n’augmente pas beaucoup
derrière, l’ordre change un peu : forte progression de Russie et Turquie qui passent en 2 et 3
les suivants, Argentine, Maroc et Mexique ne montent que peu.
Le botnet s’est complété ce WE de quelques 300K IP supplémentaires.
Ça a commencé vendredi à 18h. Et ça continue à plein régime encore maintenant. La règle de filtrage est toujours efficace, mais le firewall avec les 300K entrées individuelles a du mal à supporter la charge, aussi, les 300K entrées vont être transférées dans le botnet, et tout va rentrer dans l’ordre, au sens où la machine devrait travailler légèrement moins.
Du coup, ça a ramené la charge de la machine au dessus de 2, ce qui est le moment où les bots (user agents reconnus comme tels) reçoivent des erreurs 429, et s’ils insistent, ils sont bloqués par fail2ban. Ces bots représentent au bout de 48 heures entre 950 et 1000 adresses IP seulement.
A présent, donc :
5 /25
20 /26
73 /27
249 /28
1634 /29
10826 /30
70278 /31
641759 /32
TOTAL : 846931
+110K depuis hier soir, on s’approche du million.
Je fais l’hypothèse que les terminaux compromis sont sur des connexions sans IP fixe, et que les baux sont en cours de renouvellement.
Je fais aussi l’hypothèse que le botnet se répand, mais il ne semble pas être plus intelligent, il se répand donc à version identique, du fait qu’il continue à réclamer des ressources invalides.
9 25
30 26
104 27
373 28
2277 29
14332 30
84805 31
720765 32TOTAL : 978287On s’approche du million :-)
Tjs pas le million :-))
984 462
La moisson du WE a été bonne. 20846 nouvelles IP attrapées par fail2ban. Nous devrions donc dépasser le million lors de la prochaine mise à jour de l’ipset :-)
Ça fait quand même un million de machines qui s’intéressent à ce qu’on publie sur Seenthis depuis un mois. C’est la gloire…
Autre piste, merdification^x...
What these companies then sell to their customers is network access through the devices/PCs that have an app with this SDK installed. They are proud to tell you how you can funnel your (AI) web scraping etc through millions of rotating, residential and mobile IP addresses. Exactly the pattern we see hitting our servers.
►https://jan.wildeboer.net/2025/04/Web-is-Broken-Botnet-Part-2
@biggrizzly 1 million c’est pas grand chose au final...
Toujours à propos des bots :
As part of a time-limited trial, yesterday we removed the www.bbc.co.uk & www.bbc.com robots.txt “block” on one GenAI crawler.
Here’s a graph of total daily requests from that 1 GenAI crawler by content-type. You’ll note, they’ve retrieved ~460k web pages in ~16 hours, so a mean of ~28,750 web pages per hour. They’ll likely pull ~690k pages today, ~32GB egress.
Whilst this is a drop in the ocean versus our other traffic, I can easily see how this could sink a smaller website.
Et encore..
Ces robots agressifs tentent de parcourir des sites web entiers en peu de temps, ce qui surcharge nos serveurs web et a un impact négatif sur l’expérience des utilisateurs légitimes
Nous bloquons désormais plus de 190 millions d’adresses IP signalées par mois, mais les tentatives d’autres robots pour visiter le site restent une menace existentielle pour la plateforme
▻https://next.ink/186593/les-crawlers-des-ia-menacent-les-sites-scientifiques
@seenthis ça faisait plus d’un an que je n’avais pas fait de ménage dans les comptes à spam, c’est chose faite aujourd’hui, dites au revoir à ces comptes :
dynatech_systems stelladario emilythomas aric_georgia olsenjanif19 barinahoppe dmitry_shcherba batterypro 4_seasons_air_care hostingseekers whmcs_global_services shinedezigninfonet pulse_growth 1digital_seo wifewire signals2050 tombosworthlaw lillyy lalalisahhfr kikodd86 kumarnlm97 alexjamesal21 khushbu_jewellers brookhanry brandonsmith morthematt mayalucy saransh the_tonsbridge manvir dhiman12 buddiaries herbhub fpxassessments liga_receh olsenjanif19 tangan_emas leading_catering kumarnlm97 dynatech_systems1 the_luxe_medspa_aesthetics___body_care suzanne_kalan_inc cg_barbershop put_your_feet_first carkoch25 carinottm24 siya purnima decluttr_me rosefox blockchaintechs miawilliams log_home_shoppe alice159 angelika_wartina mayapatil281995 jacklin123 shepacirclecom twicsyarbuyinstagramfollowers untung33online scentsplit rethink_rx nutstoyou shopstickley cpeonline andrealeocouture solal25 hitechtrader red_ape_cinnamon allstatesads qualityplumbingsupply ladivine veronapressthcgummies evchargesolutions au_mm_pret_gmail_com e3_group e3_edge_band twicsyno twicsyes twicsynl rvupgradestore fatiguesarmynav cartrailer showerscreen breaultnathalie userfree jocelynez genouillere_pro thomas8616186 dussunwill emilyjoy jessicalauren adamcooper germanvisaconsultant aaravjain6107 shoaibsinn vesepe2502 gracelee04 inclavecasinolist smith audrey_shura maxavis inj3ct0r mooglelabs antierdevelopers untung33io charan_nayaka twicsyarr yobogs
How Core Git Developers Configure Git
▻https://blog.gitbutler.com/how-git-core-devs-configure-git
Celle-ci est sympa quand on a une liste de tags à rallonge :)
[column]
ui = auto
#Overflow Clip
▻https://ishadeed.com/article/overflow-clip
When the overflow is set to hidden on one axis, say overflow-y, the other axis overflow-x will become auto by default, resulting in clipping both sides. This behavior isn’t always desired. In some cases, we want clipping on only one axis. Additionally, the other axis will become scrollable, which may lead to unexpected results.
This is where the clip value becomes helpful.
#css
Iconduck - Free open source icons, illustrations and graphics
▻https://iconduck.com
#icone #svg
Y a pas mal de ressources partagées ici, si on les recensait ? :)
►https://orioniconlibrary.com
►https://www.flaticon.com
►https://flaticons.net par
►https://icons.pixsellz.io
►https://icongr.am
►https://remixicon.com
►https://www.svgrepo.com
►https://danklammer.com/bytesize-icons
(par @monolecte, @b_b, @cy_altern, @rastapopoulos)
#Icons #ressource_graphique #webdesign #pictos #graphisme #ergonomie #web #intégration #interface
unDraw - Open source illustrations for any idea
The design project with open-source illustrations for any idea you can imagine and create. Create beautiful websites, products and applications with your color, for free.
Dans mon idée, on partait plus sur les icônes ici pour s’y retrouver et les outils dans d’autres fils :) et avec un #Ressources_graphisme ou #Ressources_integration pour tout lier.
Mais à voir.
des nouveaux
– ▻https://feathericons.com
– ▻https://github.com/primer/octicons
– ▻https://fonts.google.com/icons?selected=Material+Icons
– ▻https://icons.coreui.io/icons
– ▻https://github.com/danklammer/bytesize-icons
– ▻https://useiconic.com/open
– ▻https://forkaweso.me/Fork-Awesome/icons
Source + avis : ▻https://core.spip.net/issues/4727
How to Design Better Icons
▻https://blog.prototypr.io/how-to-design-better-icons-869d067fddbf
git - How to get rid of “would clobber existing tag” - Stack Overflow
▻https://stackoverflow.com/questions/58031165/how-to-get-rid-of-would-clobber-existing-tag
! [rejected] xxx -> xxx (would clobber existing tag)
solution git fetch --tags --force
Reason : On remote, someone deletes a tag and creates a new one with the same name, then this will happen on your local
#How_To Hide #ubuntu_pro Updates in Ubuntu 24.04 LTS
▻https://www.omgubuntu.co.uk/2024/12/disable-ubuntu-pro-updates-in-software-updater
Ubuntu Pro is an optional security feature that Ubuntu LTS users can enrol in to get critical updates for more than 25,000 packages that would otherwise sit unpatched. If you use Ubuntu 24.04 LTS you will have seen Ubuntu Pro security updates in Software Updater (or when running apt commands). And you will have noticed you can’t install those updates without having an Ubuntu Pro subscription. Businesses, or those with fleets of machines to manage, need to pay for an Ubuntu Pro/ESM plan, but Ubuntu Pro is entirely free for home users (on up to 5 computers) so the only […] You’re reading How to Hide Ubuntu Pro Updates in Ubuntu 24.04 LTS, a blog post from OMG! Ubuntu. Do not reproduce elsewhere without (...)
#Full-bleed layout with modern #CSS
Use modern CSS and a few lines of code to create a full-bleed layout.
Full-bleed? It’s when an element needs to bleed outside the main container and extend to the edge of the page.
html {
container-type: inline-size;
}
main {
--w: 600px; /* the max-width */
--m: 1em; /* margin on small screen */
margin-inline: max( var(--m),(100cqw - var(--w))/2);
}
.full-bleed {
margin-inline: min(-1*var(--m),(var(--w) - 100cqw)/2);
}
Gaffe : c’est avec des unités de container (92% d’adoption pour l’instant).
Est-ce que ça apporte quelque chose de plus que ce qu’on avait déjà avec :
.spip_documents.max {
margin-left: calc(-50vw + 50%) !important;
margin-right: calc(-50vw + 50%) !important;
}Sinon, sauf erreur, la division par deux suggère encore que c’est prévu pour fonctionner uniquement si la colonne de texte est elle-même centrée horizontalement dans l’écran (même marge à gauche et à droite), c’est généralement la limite de cette méthode (si la colonne de texte n’est pas au centre, on peut y arriver, mais faut faire des maths).
Free #HTML #Templates Download - HTML Codex
▻https://htmlcodex.com/template
167+ Free HTML Website Templates. All of our templates are built using the latest web technologies including HTML5, CSS3, and Bootstrap framework
Ça peut toujours servir...
À tout télécharger et stocker avant que ça disparaisse ?
Bon c’est tout le même modèle avec Bootstrap5 et les mêmes animations partout, mais ensuite ya des différences de couleurs typos et quelques déco différentes dans chaque.
J’ai vu passer ça sur internet : ▻https://transfert.free.fr/4lrlyXY
Au passage ils n’y connaissent rien en licence : ils annoncent que TOUS les templates sont sous licence Creative Commons Attribution… licence dont ils donnent le lien vers la page officielle et qui EN TOUT PREMIER annonce qu’on a le droit de :
Share — copy and redistribute the material in any medium or format for any purpose, even commercially.
Et ensuite dans leur page où ils disent ça, ils essayent de rajouter des choses qui ne sont PAS dans la licence :
– You are not allowed to remove the author’s credit link/backlink without purchasing Credit Removal License.
– You are not allowed to sell, resale, rent, lease, license, or sub-license.
– You are not allowed to upload on your template websites or template collection websites or any other third party websites without our permission.
Ce qui est bien sûr en contradiction totale avec la licence eux-mêmes annoncée ! Débilos…
Dans le doute : c’est la licence CC qu’il faut suivre, donc on fait ce qu’on veut tant qu’on les crédite (même pas obligatoirement dans tous les pieds de page, où on veut).
Announcing the Pre-Release of the #PHP Installer for #Extensions (PIE) — The PHP Foundation — Supporting, Advancing, and Developing the PHP Language
▻https://thephp.foundation/blog/2024/11/19/pie-pre-release
With PIE, the process of managing PHP extensions becomes more streamlined. Extensions are distributed via #Packagist just like regular PHP packages! It makes the installation and update process quite familiar if you already use #Composer.
wow...
#Harmony, An #Android #App for streaming Music
- Ability to play song from Ytube/Ytube Music.
– Song cache while playing
– Radio feature support
– Background music
– Playlist creation & bookmark support
– Artist & Album bookmark support
– Import song,Playlist,Album,Artist via sharing from Ytube/Ytube Music.
– Streaming quality control
– Song downloading support
– Language support
– Skip silence
– Dynamic Theme
– Flexibility to switch between Bottom & Side Nav bar
– Equalizer support
– Synced & Plain Lyrics support
– Sleep Timer
– Android Auto support
– No Advertisment
– No Login required
– Piped playlist integration
▻https://f-droid.org/it/packages/com.anandnet.harmonymusic
#musique #F-Droid #téléphone_portable #smartphone #streaming #audio-player #musique #audio_player #alternative #spotify
vu ici :
@niavy Hello !! J’ai eu le même souci et j’ai trouvé la (ma) perle rare : #Harmony (dispo sur #F-Droid). Sans compte, possibilité de télécharger Ad nauseam et bien foutu.. Enjoy !
Perso, j’utilise ViTune qui fait globalement la même chose mais lit les fichiers locaux en plus, donc 1 seul player pour toutes sa musique, que ça soit vos MP3 locaux ou en stream sur Youtube music.
merci @jeanmarie, je viens d’installer #ViTune (je ne sais pas trop comment j’ai fait, car c’est pas si évident que cela, mais j’ai réussi) et ça a l’air super bien, notamment l’option « écouter #offline », très utile pour écouter pendant mes voyages en train/car avec mon vieux téléphone avec une batterie qui n’est quand même plus au top
Le plus simple est d’ajouter le dépôt dans F-droid : ▻https://repo.vitune.app/fdroid/repo
Tu auras les mises à jour comme ça.
c’est ce que j’ai fait, je crois.
Question, car tu as peut-être la réponse @jeanmarie, sais-tu comment faire pour ajouter des albums (et non seulement des titres) à des playlists ? Je ne vois pas...
Une plateforme pour tous vos fichiers audio
Votre musique. Vos podcasts.
Profitez-en n’importe où, partagez avec n’importe qui.
#3D #parallax effect on #hover
▻https://css-tip.com/3d-parallax-effect
Un petit effet « wow ! »
img {
--s: 300px; /* the image size */
width: var(--s);
aspect-ratio: 1;
box-sizing: border-box;
padding-inline: calc(var(--s)/10) 0;
object-fit: cover;
border-radius: 20px;
transform: perspective(350px) rotateY(calc(var(--_i,1)*10deg));
transition: .5s;
}
img:hover {
--_i: -1;
padding-inline: 0 calc(var(--s)/10);
}#css
