Hier on parlait archives et vieux sites web avec une copine. Elle m'a parlé d'un vieux wiki dont j'avais des vagues souvenirs: Le Guide du Zonard. Le site est mort, comme tant d'autres avant lui. Mais comme il y a des gens qui ont tellement de thunes et de temps dans leur vies qu'iels ont décidé de faire une backup d'Internet, bah j'ai fouillé un peu et là, OMAGAD, ils ont scrappé le site.
Du coup j'ai lancé un code pour récupérer le contenu des pages.
Pendant que ça tourne, j'ai regardé un peu, genre c'était quoi ce site ? Pourquoi il est mort ?
vx@purple:~/misc$ dig zonard.net +nocomments +nocmd +nostats
;zonard.net. IN A
zonard.net. 679 IN A 87.98.219.37
Tiens, c'est marrant, le domaine existe encore. Je me demande qui gère la zone ?
vx@purple:~/misc$ dig zonard.net +nocomments +nocmd +nostats -t soa
;zonard.net. IN SOA
zonard.net. 808 IN SOA ks36548.kimsufi.com. contact.triskel.org. 2015113002 10800 3600 604800 900
Ouais ok. Azy c'est quoi ce domaine ?
vx@purple:~/misc$ rdap zonard.net
Domain:
Domain Name: ZONARD.NET
Handle: 1152315896_DOMAIN_NET-VRSN
Status: client transfer prohibited
Conformance: rdap_level_0
Conformance: icann_rdap_technical_implementation_guide_1
Conformance: icann_rdap_response_profile_1
Notice:
Title: Terms of Service
Description: Service subject to Terms of Use.
Link: https://www.verisign.com/domain-names/registration-data-access-protocol/terms-service/index.xhtml
Notice:
Title: Status Codes
Description: For more information on domain status codes, please visit https://icann.org/epp
Link: https://icann.org/epp
Notice:
Title: RDDS Inaccuracy Complaint Form
Description: URL of the ICANN RDDS Inaccuracy Complaint Form: https://icann.org/wicf
Link: https://icann.org/wicf
Link: https://rdap.verisign.com/net/v1/domain/ZONARD.NET
Link: https://rdap.dynadot.com/domain/ZONARD.NET
Event:
Action: registration
Date: 2007-08-13T17:59:37Z
Event:
Action: expiration
Date: 2026-08-13T17:59:37Z
Event:
Action: last changed
Date: 2025-07-31T21:28:13Z
Event:
Action: last update of RDAP database
Date: 2026-02-11T22:37:02Z
Secure DNS:
Delegation Signed: false
Entity:
Handle: 472
Public ID:
Type: IANA Registrar ID
Identifier: 472
Link: http://www.dynadot.com
Role: registrar
vCard version: 4.0
vCard fn: Dynadot Inc
Entity:
Role: abuse
vCard version: 4.0
vCard tel: tel:+16502620100
vCard email: abuse@dynadot.com
Nameserver:
Nameserver: NS.KIMSUFI.COM
Nameserver:
Nameserver: NS1.CLOCHARD.ORG
Tiens, c'est mignon comme domaine, clochard.org.
vx@purple:~/misc$ dig ns1.clochard.org +nocomments +nocmd +nostats -t soa
;ns1.clochard.org. IN SOA
clochard.org. 900 IN SOA ks36548.kimsufi.com. contact.triskel.org. 2016061503 10800 3600 604800 900
vx@purple:~/misc$ dig ns1.clochard.org +nocomments +nocmd +nostats -t a
;ns1.clochard.org. IN A
ns1.clochard.org. 871 IN A 87.98.219.37
vx@purple:~/misc$ dig ks36548.kimsufi.com. +nocomments +nocmd +nostats -t a
;ks36548.kimsufi.com. IN A
ks36548.kimsufi.com. 83536 IN A 87.98.219.37
Ok, tout pointe vers la même IP.
Alors là où ça devient lol, c'est le reverse DNS
vx@purple:~/misc$ dig 87.98.219.37 +nocomments +nocmd +nostats -r
;87.98.219.37. IN A
87.98.219.37. 0 IN A 87.98.219.37
Parce qu'Infonie c'est un FAI qui n'existe plus depuis 26 ans. Le lore c'est genre ça a été mangé par Belgacom, revendu à Tiscali, qui a été bouffé par Alice, qui a été bouffé par free. A moins que...
Mais oui, c'était infonie.fr, pas infonie.org ! Nan, mais, c'est quoi alors infonie.org ?
vx@purple:~/misc$ dig infonie.org +nocomments +nocmd +nostats -t soa
;infonie.org. IN SOA
infonie.org. 789 IN SOA ns.clochard.org. contact.triskel.org. 2013061201 10800 3600 604800 900
Okay, y'aurait peut-etre un pattern, là ? Bon j'suis curieuse, c'est quoi cette machine ?
vx@purple:~/misc$ sudo nmap -T5 87.98.219.37 -n -sV
Starting Nmap 7.95 ( https://nmap.org ) at 2026-02-11 23:52 CET
Nmap scan report for 87.98.219.37
Host is up (0.063s latency).
Not shown: 997 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.5p1 Debian 6+squeeze5 (protocol 2.0)
53/tcp open domain ISC BIND 8.4.7-REL-NOESW
81/tcp open http Apache httpd (PHP/5.2.6-1+lenny16)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.21 seconds
Attends. WHAT ? Bon, ok, y'a un httpd qui tourne sur 81, why not. Là où je bug c'est...
- on a un sshd squeeze (2014)
- et un fucking Apache Lenny (2011 ?)
- bind 8.x c'est plus supporté depuis 2007 (et c'est assez vieux pour faire de la corruption de cache DNS par)
Bien sûr, j'ai changé le port pour voir si le wiki serait pas juste planqué sur le port 81, mais non. Le serv répond juste une page vide. Mais par contre, dafuk ces versions improbables. A moins que...
vx@alkaid:~$ sudo traceroute 87.98.219.37 -T 81
traceroute to 87.98.219.37 (87.98.219.37), 30 hops max, 60 byte packets
1 x.x.x.x (x.x.x.x) 0.365 ms * *
2 * * *
3 10.73.x.x (10.73.x.x) 0.212 ms 10.73.x.x (10.73.x.x) 0.237 ms 0.300 ms
4 * * *
5 * 37.59.16.31 (37.59.16.31) 0.469 ms *
6 be115.rbx-d2-a75.fr.eu (37.187.231.246) 2.328 ms * *
7 37.59.16.24 (37.59.16.24) 4.203 ms 37.59.16.16 (37.59.16.16) 4.065 ms 37.59.16.12 (37.59.16.12) 4.086 ms
8 172.20.8.5 (172.20.8.5) 1.772 ms 172.20.8.11 (172.20.8.11) 1.733 ms 172.20.8.15 (172.20.8.15) 1.723 ms
9 10.73.17.109 (10.73.17.109) 2.025 ms * *
10 10.17.52.23 (10.17.52.23) 1.820 ms * *
11 ppp-88-145.infonie.org (87.98.219.37) 1.748 ms * *
Ouais non, c'est pas renvoyé vers des trucs différents. Ca sort même pas du datacenter. C'est pratiquement des voisins.
Reste l'explication de balancer des vieilles banners intentionnellement pour le troll.
MAIS C'EST PAS FINI.
vx@purple:~/misc$ curl zonard.net:81 -I
HTTP/1.1 200 OK
Date: Wed, 11 Feb 2026 23:37:14 GMT
Server: Apache
Last-Modified: Sat, 11 Apr 2009 21:32:37 GMT
ETag: "f38003-dd-4674e38544740"
Accept-Ranges: bytes
Content-Length: 221
Content-Type: text/html
Le serveur dit qu'il va me renvoyer 221 octets, et puis en fait non, il renvoie rien.
Du coup on sors l'artillerie lourde: le big data et son passive DNS. Bon, ben déja zonard.net pointe sur la même IP depuis 2010. Y'a juste deux moments chelous, en 2020 et 2021, où ças'est mis à pointer sur Amazon.
Entre temps, je tombe sur les bails de Triskel, qui s'est fait péta par la DCRI en 2012.
IMG
https://web.archive.org/web/20160111161509/http://infonie.org/DCRI.OneYearLater.html
Ouais OK. Visiblement les glowies ils étaient déja à la recherche [du chef d'anonymous]. Je me demande si ça utilise encore LOIC par là-bas. Et du coup y'a moy' que les banners chelous ce soit juste triskel qui trolle.
Ok, mais en fait. Ce bail chelou là, de body qui est pas renvoyé alors qu'on a sa taille ?
vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/
HTTP/1.1 200 OK
Date: Thu, 12 Feb 2026 00:01:49 GMT
Server: Apache
X-Powered-By: PHP/5.2.6-1+lenny16
Content-Length: 0
Content-Type: text/html
vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/index.php
HTTP/1.1 200 OK
Date: Thu, 12 Feb 2026 00:01:59 GMT
Server: Apache
X-Powered-By: PHP/5.2.6-1+lenny16
Content-Length: 0
Content-Type: text/html
vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/index.php2
HTTP/1.1 404 Not Found
Date: Thu, 12 Feb 2026 00:02:09 GMT
Server: Apache
Content-Length: 280
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /index.php2 was not found on this server.</p>
<hr>
<address>Apache Server at le.guide.du.zonard.net Port 81</address>
</body></html>
Ok, j'ai un 404 si je demande un fichier qui existe pas. Est-ce que ...?
vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/skins/
HTTP/1.1 403 Forbidden
Date: Thu, 12 Feb 2026 00:03:42 GMT
Server: Apache
Content-Length: 280
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /skins/
on this server.</p>
<hr>
<address>Apache Server at le.guide.du.zonard.net Port 81</address>
</body></html>
Huuuuh ? Et si je check un fichier qui existe que sur le site ?
vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/zonrad_le_zonard_et_sa_merde_a_la_biere_et_a_l_hepatite.png
HTTP/1.1 200 OK
Date: Thu, 12 Feb 2026 00:29:05 GMT
Server: Apache
Last-Modified: Thu, 23 Feb 2012 05:01:21 GMT
ETag: "17a4d4f-8f60-4b99a88f98a40"
Accept-Ranges: bytes
Content-Length: 36704
Content-Type: image/png
curl: (18) end of response with 36704 bytes missing
WOPUTAIN SA MERE ! Le site est toujours là ! Juste il est complètement éclaté, mode coma étylique dans le fossé, a moitié noyé dans son vomi.
Bon je vous passe les détails où je suis passée par konace.info et son pork center, l'IPv6 "Fief de la sale", le fait que le site de Rafale est mort aussi, et tous les tests improbables à coup de headers Cache-Control et de http/1.0.
Mais ouais, le site il est encore là en fait. Juste le httpd il est en carafe.