Hier on parlait archives et vieux sites web avec une copine. Elle m'a parlé d'un vieux wiki dont j'avais des vagues souvenirs: Le Guide du Zonard. Le site est mort, comme tant d'autres avant lui. Mais comme il y a des gens qui ont tellement de thunes et de temps dans leur vies qu'iels ont décidé de faire une backup d'Internet, bah j'ai fouillé un peu et là, OMAGAD, ils ont scrappé le site.

Du coup j'ai lancé un code pour récupérer le contenu des pages.

Pendant que ça tourne, j'ai regardé un peu, genre c'était quoi ce site ? Pourquoi il est mort ?

vx@purple:~/misc$ dig zonard.net  +nocomments +nocmd +nostats
;zonard.net.			IN	A
zonard.net.		679	IN	A	87.98.219.37

Tiens, c'est marrant, le domaine existe encore. Je me demande qui gère la zone ?

vx@purple:~/misc$ dig zonard.net  +nocomments +nocmd +nostats -t soa
;zonard.net.			IN	SOA
zonard.net.		808	IN	SOA	ks36548.kimsufi.com. contact.triskel.org. 2015113002 10800 3600 604800 900

Ouais ok. Azy c'est quoi ce domaine ?

vx@purple:~/misc$ rdap zonard.net 
Domain:
  Domain Name: ZONARD.NET
  Handle: 1152315896_DOMAIN_NET-VRSN
  Status: client transfer prohibited
  Conformance: rdap_level_0
  Conformance: icann_rdap_technical_implementation_guide_1
  Conformance: icann_rdap_response_profile_1
  Notice:
    Title: Terms of Service
    Description: Service subject to Terms of Use.
    Link: https://www.verisign.com/domain-names/registration-data-access-protocol/terms-service/index.xhtml
  Notice:
    Title: Status Codes
    Description: For more information on domain status codes, please visit https://icann.org/epp
    Link: https://icann.org/epp
  Notice:
    Title: RDDS Inaccuracy Complaint Form
    Description: URL of the ICANN RDDS Inaccuracy Complaint Form: https://icann.org/wicf
    Link: https://icann.org/wicf
  Link: https://rdap.verisign.com/net/v1/domain/ZONARD.NET
  Link: https://rdap.dynadot.com/domain/ZONARD.NET
  Event:
    Action: registration
    Date: 2007-08-13T17:59:37Z
  Event:
    Action: expiration
    Date: 2026-08-13T17:59:37Z
  Event:
    Action: last changed
    Date: 2025-07-31T21:28:13Z
  Event:
    Action: last update of RDAP database
    Date: 2026-02-11T22:37:02Z
  Secure DNS:
    Delegation Signed: false
  Entity:
    Handle: 472
    Public ID:
      Type: IANA Registrar ID
      Identifier: 472
    Link: http://www.dynadot.com
    Role: registrar
    vCard version: 4.0
    vCard fn: Dynadot Inc
    Entity:
      Role: abuse
      vCard version: 4.0
      vCard tel: tel:+16502620100
      vCard email: abuse@dynadot.com
  Nameserver:
    Nameserver: NS.KIMSUFI.COM
  Nameserver:
    Nameserver: NS1.CLOCHARD.ORG

Tiens, c'est mignon comme domaine, clochard.org.

vx@purple:~/misc$ dig ns1.clochard.org +nocomments +nocmd +nostats -t soa
;ns1.clochard.org.		IN	SOA
clochard.org.		900	IN	SOA	ks36548.kimsufi.com. contact.triskel.org. 2016061503 10800 3600 604800 900
vx@purple:~/misc$ dig ns1.clochard.org +nocomments +nocmd +nostats -t a
;ns1.clochard.org.		IN	A
ns1.clochard.org.	871	IN	A	87.98.219.37
vx@purple:~/misc$ dig  ks36548.kimsufi.com. +nocomments +nocmd +nostats -t a
;ks36548.kimsufi.com.		IN	A
ks36548.kimsufi.com.	83536	IN	A	87.98.219.37

Ok, tout pointe vers la même IP.

Alors là où ça devient lol, c'est le reverse DNS

vx@purple:~/misc$ dig 87.98.219.37 +nocomments +nocmd +nostats -r
;87.98.219.37.			IN	A
87.98.219.37.		0	IN	A	87.98.219.37

Parce qu'Infonie c'est un FAI qui n'existe plus depuis 26 ans. Le lore c'est genre ça a été mangé par Belgacom, revendu à Tiscali, qui a été bouffé par Alice, qui a été bouffé par free. A moins que...

Mais oui, c'était infonie.fr, pas infonie.org ! Nan, mais, c'est quoi alors infonie.org ?

vx@purple:~/misc$ dig infonie.org +nocomments +nocmd +nostats -t soa
;infonie.org.			IN	SOA
infonie.org.		789	IN	SOA	ns.clochard.org. contact.triskel.org. 2013061201 10800 3600 604800 900

Okay, y'aurait peut-etre un pattern, là ? Bon j'suis curieuse, c'est quoi cette machine ?

vx@purple:~/misc$ sudo nmap  -T5 87.98.219.37  -n -sV
Starting Nmap 7.95 ( https://nmap.org ) at 2026-02-11 23:52 CET
Nmap scan report for 87.98.219.37
Host is up (0.063s latency).
Not shown: 997 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.5p1 Debian 6+squeeze5 (protocol 2.0)
53/tcp open  domain  ISC BIND 8.4.7-REL-NOESW
81/tcp open  http    Apache httpd (PHP/5.2.6-1+lenny16)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.21 seconds

Attends. WHAT ? Bon, ok, y'a un httpd qui tourne sur 81, why not. Là où je bug c'est...

  • on a un sshd squeeze (2014)
  • et un fucking Apache Lenny (2011 ?)
  • bind 8.x c'est plus supporté depuis 2007 (et c'est assez vieux pour faire de la corruption de cache DNS par)

Bien sûr, j'ai changé le port pour voir si le wiki serait pas juste planqué sur le port 81, mais non. Le serv répond juste une page vide. Mais par contre, dafuk ces versions improbables. A moins que...

vx@alkaid:~$ sudo traceroute 87.98.219.37 -T 81
traceroute to 87.98.219.37 (87.98.219.37), 30 hops max, 60 byte packets
 1  x.x.x.x (x.x.x.x)  0.365 ms * *
 2  * * *
 3  10.73.x.x (10.73.x.x)  0.212 ms 10.73.x.x (10.73.x.x)  0.237 ms  0.300 ms
 4  * * *
 5  * 37.59.16.31 (37.59.16.31)  0.469 ms *
 6  be115.rbx-d2-a75.fr.eu (37.187.231.246)  2.328 ms * *
 7  37.59.16.24 (37.59.16.24)  4.203 ms 37.59.16.16 (37.59.16.16)  4.065 ms 37.59.16.12 (37.59.16.12)  4.086 ms
 8  172.20.8.5 (172.20.8.5)  1.772 ms 172.20.8.11 (172.20.8.11)  1.733 ms 172.20.8.15 (172.20.8.15)  1.723 ms
 9  10.73.17.109 (10.73.17.109)  2.025 ms * *
10  10.17.52.23 (10.17.52.23)  1.820 ms * *
11  ppp-88-145.infonie.org (87.98.219.37)  1.748 ms * *

Ouais non, c'est pas renvoyé vers des trucs différents. Ca sort même pas du datacenter. C'est pratiquement des voisins.

Reste l'explication de balancer des vieilles banners intentionnellement pour le troll.

MAIS C'EST PAS FINI.

vx@purple:~/misc$ curl zonard.net:81 -I
HTTP/1.1 200 OK
Date: Wed, 11 Feb 2026 23:37:14 GMT
Server: Apache
Last-Modified: Sat, 11 Apr 2009 21:32:37 GMT
ETag: "f38003-dd-4674e38544740"
Accept-Ranges: bytes
Content-Length: 221
Content-Type: text/html

Le serveur dit qu'il va me renvoyer 221 octets, et puis en fait non, il renvoie rien.

Du coup on sors l'artillerie lourde: le big data et son passive DNS. Bon, ben déja zonard.net pointe sur la même IP depuis 2010. Y'a juste deux moments chelous, en 2020 et 2021, où ças'est mis à pointer sur Amazon.

Entre temps, je tombe sur les bails de Triskel, qui s'est fait péta par la DCRI en 2012.

IMG

https://web.archive.org/web/20160111161509/http://infonie.org/DCRI.OneYearLater.html

Ouais OK. Visiblement les glowies ils étaient déja à la recherche [du chef d'anonymous]. Je me demande si ça utilise encore LOIC par là-bas. Et du coup y'a moy' que les banners chelous ce soit juste triskel qui trolle.

Ok, mais en fait. Ce bail chelou là, de body qui est pas renvoyé alors qu'on a sa taille ?

vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/
HTTP/1.1 200 OK
Date: Thu, 12 Feb 2026 00:01:49 GMT
Server: Apache
X-Powered-By: PHP/5.2.6-1+lenny16
Content-Length: 0
Content-Type: text/html

vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/index.php
HTTP/1.1 200 OK
Date: Thu, 12 Feb 2026 00:01:59 GMT
Server: Apache
X-Powered-By: PHP/5.2.6-1+lenny16
Content-Length: 0
Content-Type: text/html

vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/index.php2
HTTP/1.1 404 Not Found
Date: Thu, 12 Feb 2026 00:02:09 GMT
Server: Apache
Content-Length: 280
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /index.php2 was not found on this server.</p>
<hr>
<address>Apache Server at le.guide.du.zonard.net Port 81</address>
</body></html>

Ok, j'ai un 404 si je demande un fichier qui existe pas. Est-ce que ...?

vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/skins/
HTTP/1.1 403 Forbidden
Date: Thu, 12 Feb 2026 00:03:42 GMT
Server: Apache
Content-Length: 280
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /skins/
on this server.</p>
<hr>
<address>Apache Server at le.guide.du.zonard.net Port 81</address>
</body></html>

Huuuuh ? Et si je check un fichier qui existe que sur le site ?

vx@purple:~/misc$ curl -i le.guide.du.zonard.net:81/zonrad_le_zonard_et_sa_merde_a_la_biere_et_a_l_hepatite.png
HTTP/1.1 200 OK
Date: Thu, 12 Feb 2026 00:29:05 GMT
Server: Apache
Last-Modified: Thu, 23 Feb 2012 05:01:21 GMT
ETag: "17a4d4f-8f60-4b99a88f98a40"
Accept-Ranges: bytes
Content-Length: 36704
Content-Type: image/png

curl: (18) end of response with 36704 bytes missing

WOPUTAIN SA MERE ! Le site est toujours là ! Juste il est complètement éclaté, mode coma étylique dans le fossé, a moitié noyé dans son vomi.

Bon je vous passe les détails où je suis passée par konace.info et son pork center, l'IPv6 "Fief de la sale", le fait que le site de Rafale est mort aussi, et tous les tests improbables à coup de headers Cache-Control et de http/1.0.

Mais ouais, le site il est encore là en fait. Juste le httpd il est en carafe.