Blog de Geeek, le blog geek par excellence par Ludovic Toinel ...

Sécurité

Fil des billets - Fil des commentaires

mardi 11 septembre 2007

L'adresse IP mystérieuse ...

Par Ludovic Toinel le mardi 11 septembre 2007, 23:01

rss,IE,flood

En consultant les statistiques de mon blog avec Awstats, un analyseur de log Apache, je me suis rendu compte qu'une machine a fait 8000 requêtes HTTP vers mon serveur depuis le début du mois et n'a consommé que 1.68 Mo de bande passante. Étrange non ?

Cette machine est : 89.84.38.47

Après un scan rapide de la machine avec Nmap, il s'agit d'une machine avec de faux services : un faux serveur HTTP, un faux serveur FTP, un faux serveur SSH ....

PORT   STATE    SERVICE
21/tcp open     ftp
22/tcp open     ssh
23/tcp open     telnet
25/tcp filtered smtp
80/tcp open     http

Après une analyse rapide de mes logs Apache, cette machine lit le flux RSS de mon blog toute les minutes ;-)

89.84.38.47 - - 07/Sep/2007:11:39:54 +0200 "GET /feed/rss.xml HTTP/1.1" 200 44506 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MSOffice 12)"

Au moins elle est sûr d'avoir les dernières news à jour de mon blog ....

Le User-Agent me fait penser à un IE, s'agit t'il un bug d'IE ? Ou bien peut être d'un Virus qui s'amuse à flooder les feed RSS des blogs ? Ou s'agit t'il d'un agrégateur avec un faut User-Agent ?

J'imagine le désastre sur Internet si un virus s'amusait à appeler toute les minutes les Feed RSS enregistrés sur IE 7 ....

Je bloque l'IP ?

7 commentaires

vendredi 31 août 2007

Les spammeurs Russes bannis de Geeek.org

Par Ludovic Toinel le vendredi 31 août 2007, 22:45

prison,spam

J'ai enfin réussi à lister les plages d'IP des machines qui floodent mon serveur Web de requêtes HTTP depuis plusieurs semaines.

Elles m'envoient en moyenne une requête par seconde et cela peut monter jusqu'à 100 requêtes simultanées certains soirs.

Il s'agit de serveurs Russes, plusieurs centaines de machines qui utilisent leurs bandes passantes à flooder le script de trackback "tb.php" de ma plateforme de blog.

Pour tracer la liste des IP floodeuses, j'ai développé rapidement un petit script PHP qui porte le même nom que le script de trackback "tb.php" et qui a comme seul objectif d'écrire les IP appelantes dans un fichier de log :

<?php

if (isset($_GET["id"])){
        $ip = $_SERVER['REMOTE_ADDR'];

        $data = "$ip\n"

        // Open the file and erase the contents if any
        $fp = fopen("spam.log", "a");

        // Write the data to the file
        fwrite($fp, $data);
       
        // Close the file
        fclose($fp);
}

?>

A partir du fichier produit, j'ai pu modifier les règles de mon firewall pour bloquer tous les paquets provenant de ces machines :

$IPTABLES -I INPUT -s 62.213.66.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.68.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.71.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.83.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.86.0/24 -j DROP

$IPTABLES -I INPUT -s 212.24.32.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.37.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.48.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.61.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.62.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.63.0/24 -j DROP

$IPTABLES -I INPUT -s 212.158.165.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.166.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.167.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.169.0/24 -j DROP

$IPTABLES -I INPUT -s 217.23.131.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.132.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.133.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.136.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.140.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.143.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.144.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.147.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.151.0/24 -j DROP

Et voilà le travail !

En attendant les requêtes qui arrivent sur le serveur consomment inutilement le débit sur ma bande passante ...

7 commentaires un rétrolien

vendredi 24 août 2007

Hack des hotspots payants : Encapsulation ICMP/DNS

Par Ludovic Toinel le vendredi 24 août 2007, 23:35

Voici un hack pour utiliser des hotspots Wifi payants gratuitement.

http://thomer.com/howtos/nstx.html

Le TCP over DNS .. Voir même le TCP over ICMP :-)

C'est de l'encapsulation de données, mais ça marche sur certains de Hotspots qui laissent ce type de flux passer sans aucune authentification.

Il faut cependant avoir un serveur connecté à Internet qui puisse désencapsuler les paquets et les forwarder sur Internet.

Merci à Valentin pour la news.

aucun commentaire

vendredi 10 août 2007

Le serveur du site officiel du ministère de l'Intérieur hébergé aux USA

Par maley le vendredi 10 août 2007, 22:21

usa

Le serveur du ministère de l'intérieur est passé sous contrôle américain.

La moindre informations tapées par un internaute français sur le site du ministère passera obligatoirement par les serveurs américains. Ce changement à eu lieu il y a 5 jours au mépris de la sécurité nationale.

Comme souvent le gouvernement profite que les gens soient en vacances pour faire "passer" des mesures en douceur. On vit une époque formidable.

Vous pouvez le constater vous-même en faisant un "ping" sur

http://www.interieur.gouv.fr/

Source : pizzalea sur Tvperso (Free)

6 commentaires

mardi 19 juin 2007

Virus MSN photos.zip : Le virus très vicieux !

Par Ludovic Toinel le mardi 19 juin 2007, 23:07

Attention à ce type de Virus, il envoie à l'insu de l'utilisateur un fichier portant le nom de "photos.zip" par MSN en prétextant qu'il s'agit de photos chaudes :

msn-virus.png

La solution :


121 commentaires

vendredi 20 avril 2007

Serveur de mail de Laposte.net

Par Ludovic Toinel le vendredi 20 avril 2007, 23:19

laposte.gif

Ma copine vient de recevoir un email qui ne lui était pas destiné.

Son email est xxx.yyy@laposte.net et elle vient de recevoir un email en destination de xxx@laposte.net ... Ce n'est pas sérieux de la part de La Poste, surtout que ce mail contient des informations confidentielles.

Je pense que le bug doit provenir soit d'un mauvais formatage de l'entête du mail qui a enduit en erreur le serveur de mail .. Soit d'un accès concurrent au niveau du serveur de mail.

Bref ... Tout cela pour dire que potentiellement d'autres personnes peuvent lire vos mails ... Enfin sauf si vous hébergez vous-même votre serveur de mail.

un commentaire

lundi 19 février 2007

BlueJacking : Le spam pour dent bleue

Par Ludovic Toinel le lundi 19 février 2007, 21:38

Après plusieurs recherches j'ai enfin trouvé un logiciel qui permet de réaliser du spam à partir d'un PC vers des terminaux Bluetooth , il s'agit de BlueBacteria :

bluebacteria.jpg

Une version de démo est présente sur le site, celle-ci est bridée mais permet rapidement de voir qu'il est possible de spammer pleins de personnes avec son PC.

bluebacteria_screenshot.jpg

Ce logiciel a été créé par son auteur pour envoyer des messages publicitaires de manière brutale .... Vous imaginez ce type de Spam aux Halles à Paris ? Le carton que cela pourrait faire.

Pour les personnes qui préferent utiliser leur téléphone pour blueJacker, il y a EasyJack qui est intéressant (mais payant ..).

un commentaire

dimanche 20 août 2006

Hack me ....

Par Ludovic Toinel le dimanche 20 août 2006, 23:37

Qui trouvera le mot de passe de ce billet ?

2 commentaires

lundi 10 avril 2006

Ze piratage is not good !

Par Ludovic Toinel le lundi 10 avril 2006, 21:46

Zieutez un oeil sur cette vidéo :

http://www.canalw.free.fr/Films/Piratage_hr.wmv

5 commentaires

mardi 28 mars 2006

Formulaires et protection contre les robots spammeurs

Par Ludovic Toinel le mardi 28 mars 2006, 06:51

robot,spam,formulaire,web,html,form,input

Je viens de finir de modifier le plugin Tribune Libre pour éviter le spam et voici ce que j'en ai retenu des robots spammeurs :

  • Il remplissent tous les champs avec des données, pour des champs petits ils insèrent le nom du champs : par exemple si un champs s'appelle 'trucmuch' et qu'il est de petite taille il vont insèrer la valeur 'trucmuch' à l'intérieur.
  • Ils savent interpréter ne nom des champs, si un champs s'appelle "trucnick", il vont savoir qu'il s'agit d'un champs pour un pseudo. Et si le champs s'appelle "trucmsg" il vont savoir qu'il s'agit d'un message.

Les règles sont donc :

  • D'utiliser des formulaires avec des noms bidons, voir même avec des caractères aléatoires
  • De vérifier que la valeur envoyée ne contient pas le nom du champs lui même.

2 commentaires

- page 2 de 4 -

Derniers commentaires