Cet Article évoluera au fil des avancées (qui seront lentes)

En fait je pense avoir fait vraiment fausse route,

Le problèmes d’Adorcam est que le serveur P2P (le Broker) situé aux états unis (chez AWS) par moment ne répond plus ou répond de manière erronée ce qui entraîne les déconnexions des caméras. Il est possible de reconnecter les caméras c’est un processus assez aléatoires mais ça peut marcher j’ai réussi à avoir un fonctionnement pendant 2 minutes avant que ma caméra ne se réinitialise comme une grande.

Le premier écueil est la difficulté de lecture du QR-Code sur le téléphone , la cam doit faire un Bip et le témoin lumineux changer de couleur et passer en bleu fixe si c’est le cas vous avez la connexion Wifi. Puis le voyant doit clignoter en rouge rapidement c’est la phase de connexion. Le contenu du QR Code est le suivant :

{"ssid":"Votre_SSID-2,4Ghz","pd":"Votre Clé","t":"Un Token Numérique","c":33}

le code 33 est le code pour la france.

En configurant un hotspot sur mon linux j’ai pu tracer le dialogue d’initialisation.

• Après la lecture du QR/Code la caméra se connecte au Whifi et fait un échange DHCP pour prendre une adresse IP
• Puis elle fait une connexion cryptée au serveur root.xmitech.net (j’ai des erreurs sur cette connexion)
• s’en suit un dialoque avec dev.eu.adorcam.com
• là le Wifi coupe et remonte
• on a une connexion vers 18.157.235.36 (ec2-18-157-235-36.eu-central-1.compute.amazonaws.com)
• en parallèle nouvelle connexion à dev.eu.adorcam.com
• et la connexion à mqtt.us.xmitech.net (le broker mqtt)
• On voit la « connect command » avec le broker qui est acceptée
• puis une « Subscribe Request » à topic/10001/wake/120022100B39 où l’on reconnait la chaîne de caractères qui est inscrite sur la caméra, c’est son identifiant unique.
• Là le serveur amazon envoie deux paquets de retransmission (en mode push)
• et la caméra plante avec le voyant étant passé brièvement au violet.

Il semblerait que le bégaiement du serveur Amazon et la séquence suivante soit la cause du plantage de la caméra, qui revient à sont cycle de lecture du QR Code.

811 2026-03-23 15:28:13,624691655 ec2-18-157-235-36.eu-central-1.compute.amazonaws.com 10.42.0.20 TCP 70 12308 → 59492 [PSH, ACK] Seq=35 Ack=155 Win=27872 Len=16 10.42.0.20
812 2026-03-23 15:28:13,624792928 ec2-18-157-235-36.eu-central-1.compute.amazonaws.com 10.42.0.20 TCP 70 [TCP Retransmission] 12308 → 59492 [PSH, ACK] Seq=35 Ack=155 Win=27872 Len=16 10.42.0.20
813 2026-03-23 15:28:13,624823590 ec2-18-157-235-36.eu-central-1.compute.amazonaws.com 10.42.0.20 TCP 70 [TCP Retransmission] 12308 → 59492 [PSH, ACK] Seq=35 Ack=155 Win=27872 Len=16 10.42.0.20

Donc au moins sur la séquence capturée ce n’est pas le Broker qui est en défaut mais à la fois le AWS qui retransmet trop rapidement le paquet et la pile TCP de la caméra qui gère mal cette double retransmission. Mais mon diagnostique est incomplet il se peut que l’erreur soit à chercher dans le dialogue avec dev.eu.adorcam.com.

A noter mqtt.us.xmitech.net correspond au cloud ec2-18-192-177-27.eu-central-1.compute.amazonaws.com

root.xmitech.net est ec2-54-219-47-98.us-west-1.compute.amazonaws.com

et dev.eu.adorcam.com est ec2-18-157-72-216.eu-central-1.compute.amazonaws.com

Hello,

Ce matin j’ai passé le VPS en Bookworm (et donc php8) ce qui a engendré quelques dysfonctionnement (en fait le classique des thèmes et plugins wordpress qui ne fonctionnent plus puisque plus maintenus. J’ai corrigé les plus gros dysfonctionnements mais … il en reste notamment sur la partie traq.

Pourquoi cette punition ? en fait j’avais détecté des connexions de mon VPS vers des adresses en Russie et je soupçonne lighttpd. Avant de pouvoir faire la chasse à la faille il fallait que je me mette sur une version suffisamment récente.

Après des semaines de tranquilité où les messages de fail2ban étaient quasi absents, un de mes blogs fait l’objet d’un assaut. Bien sur c’est wp-login.php et xmlrpc.php qui sont testé. Ce qui est nouveau c’est que l’attaque a démarré brutalement avec plus d’une cinquantaine d’adresses IP.

Il va peut être falloir que je passe ce blog privé en maintenance quelques jours le temps que l’attaque passe. La précédente avait vu le même site bombardé pendant 6 mois. A suivre donc.

Donc les conseils c’est bien sur de faire toutes les dernières mises à jour du système et de wordpress, de changer l’admin par défaut et de supprimer l’utilisateur admin, vérifier systématiquement les inscriptions sur le blog, supprimer les extensions inutiles. Mettre en place fail2ban et prendre le temps d’inventer ses propres filtres, ajouter l’extension login lock-down.

par exemple avec fail2ban bannir les adresses qui ouvrent xmlrpc.php plusieurs fois sur une période donnée.

bonjour,

Aujourd’hui une petite coupure suite au passage en Debian 11 (BullsEye). Au passage j’avais un paramétrage lighttpd qui n’était pas correct et deux modules PHp qui ne se sont pas isntallé. Mais pour un passage en version majeur ce n’est pas mal, il faudra que je regarde les trace d’erreurs mais ça me semble globalement fonctionnel.

Je ne sais pas si ça a eu des conséquences pour vous mais j’en suis à deux jours sans spam.
Avoir reporté auprès des hébergeurs qu’un de leur client était un spameur qui ne respecte pas les désinscription a suffi à déclencher une réaction.
Pour trouver les sociétés en question j’ai utilisé whois; si vous n’avez pas un unix sous la main il existe des services de whois sur Internet. Dans les informations intéressantes il ya l’adresse abuse du registar (la personne qui a vendu le nom de domaine) et l’adresse du technical, un peu de google et de societe.com et j’avais déterminé que en fait il y avait trois société individuelles derrière le flux de spam dont deux dont les dirigeants portaient le même nom de famille. Ça sentait donc un peu le camouflage.
En fait j’ai trouvé les noms des sociétés en cherchant sur les liens de désinscriptions qui étaient en http://links.domain.fr et http://red.domain.fr les fameux domain.fr dans whois.
un bon whois sur internet

complément pour les curieux un peu geek.
Rien n’oblige le spameur d’avoir ses serveurs et les noms de domaine à la même adresse. Une base existe facilitant la recherche des adresses « abuse » des hébergeurs.

root@vps:/etc/fail2ban# host queryline.fr
queryline.fr mail is handled by 10 bounce.queryline.fr.
root@vps:/etc/fail2ban# host bounce.queryline.fr
bounce.queryline.fr has address 52.42.167.110
root@vps:/etc/fail2ban# host -t TXT 110.167.42.52.abuse-contacts.abusix.org
110.167.42.52.abuse-contacts.abusix.org descriptive text "abuse@amazonaws.com"

Si le nom de domaine est chez OVH l’hébergement est chez amazon.

Bon tout le monde n’utilise pas lighttpd et la tendance sur les petites configurations est plutôt à utiliser nginx. Pendant longtemps lighttpd était en sommeil mais les développements ont repris et franchement moi j’aime bien une partie de la performance de ce site vient justement de l’utilisation de lighttpd.
Lorsque l’on installe lighttpd on utilise souvent evhost pour pouvoir gérer des virtual host, et bien dans un article du blog pourtant ancien un autre voie est signalée qui me semble bien plus intéressante puisque permettant d’avoir une meilleur modularité et une grosse simplification des fichiers de configuration. Parfois le plus simple s’avère compliqué, la complexité étant poussé en aval.
Donc l’article éclairant est là

En ce jour gris j’ai eu l’occasion de vister un lieu que je ne m attendais pas à rencontrer à dijon.
Encore une démonstration reussie de la reconversion de bâtiment industriel.
Si vous passez rue de Longvic.

juste pour le fin quelqu’un m’a adressé ce mail :

From……: Kathie
Email…..: k……..s@gmail.com
Url…….:

Hello, I am writing in an unusual case … Some time ago, I used your services, and one of your employees face was familiar to me. At dinner with my wife, it turned out that he was a burglar, who 5 years ago broke into our home!!! This is ridiculous!!! How you can hire criminals? I found at least 3 bad entries for him at website for background check!! I am sure there are more!!! Please do something about it, things like that are ridiculous!!!

Je ne sais pas comment celà a pu arriver mais c’est pas au bon endroit. Comment un mail posté sur un autre wordpress aurait pu rentrer sur le mien ? c’est vraiment étrange. Si ça se trouve c’est la NSA 🙂

Sous ce titre hyper gaguesque juste une réflexion que je me suis faites en vacances en voyant de trois quart arrière l’affreuse mini cooper 4 portes juste après avoir montré à mes enfants une vraie de vraie mini cooper, je me suis dit qu’elle ne ressemblaitvraiment pas à une mini notamment avec ses roues immenses (les vraies ont des petites roues) et les 4 portes !!!!
finalement je me suis dit qu’elle ressemblait plus à une 4L qu’à une mini. Renault devrait attaquer BMW pour violation du « look and feel » 😉