http://www.geeek.org/ Le blog d'un geek passionné par : l'informatique, le Web, Internet, les gadgets, la photo, la sécurité, Linux, le développement, la culture geek ... fr Sat, 06 Sep 2008 04:15:01 +0200 Blog de geeek http://blogs.law.harvard.edu/tech/rss Dotclear http://www.geeek.org/post/2007/08/31/Les-spammeurs-Russes-bannis-de-Geeekorg urn:md5:f88f2727a6d19e4d80172899c9c42c93 Fri, 31 Aug 2007 22:45:00 +0200 Ludovic Toinel Sécurité blogrussesspamsécuritétrackback <p><img src="http://www.geeek.org/public/securite/prison.jpg" alt="prison,spam" style="float:right; margin: 0 0 1em 1em;" /></p> <p>J'ai enfin réussi à lister les plages d'IP des machines qui floodent mon serveur Web de requêtes HTTP depuis plusieurs semaines.</p> <p>Elles m'envoient en moyenne une requête par seconde et cela peut monter jusqu'à 100 requêtes simultanées certains soirs.</p> <p>Il s'agit de serveurs Russes, plusieurs centaines de machines qui utilisent leurs bandes passantes à flooder le script de trackback &quot;tb.php&quot; de ma plateforme de blog.</p> <p>Pour tracer la liste des IP floodeuses, j'ai développé rapidement un petit script PHP qui porte le même nom que le script de trackback &quot;tb.php&quot; et qui a comme seul objectif d'écrire les IP appelantes dans un fichier de log :</p> <code class="php"><span style="color: #000000; font-weight: bold;">&lt;?php</span><br /> <br /> <span style="color: #b1b100;">if</span> <span style="color: #66cc66;">&#40;</span><a href="http://www.php.net/isset"><span style="color: #000066;">isset</span></a><span style="color: #66cc66;">&#40;</span><span style="color: #0000ff;">$_GET</span><span style="color: #66cc66;">&#91;</span><span style="color: #ff0000;">&quot;id&quot;</span><span style="color: #66cc66;">&#93;</span><span style="color: #66cc66;">&#41;</span><span style="color: #66cc66;">&#41;</span><span style="color: #66cc66;">&#123;</span><br /> &nbsp; &nbsp; &nbsp; &nbsp; <span style="color: #0000ff;">$ip</span> = <span style="color: #0000ff;">$_SERVER</span><span style="color: #66cc66;">&#91;</span><span style="color: #ff0000;">'REMOTE_ADDR'</span><span style="color: #66cc66;">&#93;</span>;<br /> <br /> &nbsp; &nbsp; &nbsp; &nbsp; <span style="color: #0000ff;">$data</span> = <span style="color: #ff0000;">&quot;$ip<span style="color: #000099; font-weight: bold;">\n</span>&quot;</span>;&nbsp; <br /> <br /> &nbsp; &nbsp; &nbsp; &nbsp; <span style="color: #808080; font-style: italic;">// Open the file and erase the contents if any</span><br /> &nbsp; &nbsp; &nbsp; &nbsp; <span style="color: #0000ff;">$fp</span> = <a href="http://www.php.net/fopen"><span style="color: #000066;">fopen</span></a><span style="color: #66cc66;">&#40;</span><span style="color: #ff0000;">&quot;spam.log&quot;</span>, <span style="color: #ff0000;">&quot;a&quot;</span><span style="color: #66cc66;">&#41;</span>;<br /> <br /> &nbsp; &nbsp; &nbsp; &nbsp; <span style="color: #808080; font-style: italic;">// Write the data to the file</span><br /> &nbsp; &nbsp; &nbsp; &nbsp; <a href="http://www.php.net/fwrite"><span style="color: #000066;">fwrite</span></a><span style="color: #66cc66;">&#40;</span><span style="color: #0000ff;">$fp</span>, <span style="color: #0000ff;">$data</span><span style="color: #66cc66;">&#41;</span>;<br /> &nbsp; &nbsp; &nbsp; &nbsp; <br /> &nbsp; &nbsp; &nbsp; &nbsp; <span style="color: #808080; font-style: italic;">// Close the file</span><br /> &nbsp; &nbsp; &nbsp; &nbsp; <a href="http://www.php.net/fclose"><span style="color: #000066;">fclose</span></a><span style="color: #66cc66;">&#40;</span><span style="color: #0000ff;">$fp</span><span style="color: #66cc66;">&#41;</span>;<br /> <span style="color: #66cc66;">&#125;</span><br /> <br /> <span style="color: #000000; font-weight: bold;">?&gt;</span></code> <p>A partir du fichier produit, j'ai pu modifier les règles de mon firewall pour bloquer tous les paquets provenant de ces machines :</p> <pre>$IPTABLES -I INPUT -s 62.213.66.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.68.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.71.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.83.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.86.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.32.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.37.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.48.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.61.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.62.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.63.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.165.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.166.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.167.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.169.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.131.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.132.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.133.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.136.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.140.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.143.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.144.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.147.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.151.0/24 -j DROP</pre> <p>Et voilà le travail !</p> <p>En attendant les requêtes qui arrivent sur le serveur consomment inutilement le débit sur ma bande passante ...</p> http://www.geeek.org/post/2007/08/31/Les-spammeurs-Russes-bannis-de-Geeekorg#comment-form http://www.geeek.org/post/2007/08/31/Les-spammeurs-Russes-bannis-de-Geeekorg#comment-form http://www.geeek.org/feed/rss2/comments/974