Dernières News
Nuage de Tags
Archives
RSS des articles
Souscrire par email
Les spammeurs Russes bannis de Geeek.org
Par Ludovic Toinel le vendredi 31 août 2007, 22:45 - Sécurité - Lien permanent
J'ai enfin réussi à lister les plages d'IP des machines qui floodent mon serveur Web de requêtes HTTP depuis plusieurs semaines.
Elles m'envoient en moyenne une requête par seconde et cela peut monter jusqu'à 100 requêtes simultanées certains soirs.
Il s'agit de serveurs Russes, plusieurs centaines de machines qui utilisent leurs bandes passantes à flooder le script de trackback "tb.php" de ma plateforme de blog.
Pour tracer la liste des IP floodeuses, j'ai développé rapidement un petit script PHP qui porte le même nom que le script de trackback "tb.php" et qui a comme seul objectif d'écrire les IP appelantes dans un fichier de log :
<?php
if (isset($_GET["id"])){
$ip = $_SERVER['REMOTE_ADDR'];
$data = "$ip\n";
// Open the file and erase the contents if any
$fp = fopen("spam.log", "a");
// Write the data to the file
fwrite($fp, $data);
// Close the file
fclose($fp);
}
?>
A partir du fichier produit, j'ai pu modifier les règles de mon firewall pour bloquer tous les paquets provenant de ces machines :
$IPTABLES -I INPUT -s 62.213.66.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.68.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.71.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.83.0/24 -j DROP $IPTABLES -I INPUT -s 62.213.86.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.32.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.37.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.48.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.61.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.62.0/24 -j DROP $IPTABLES -I INPUT -s 212.24.63.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.165.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.166.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.167.0/24 -j DROP $IPTABLES -I INPUT -s 212.158.169.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.131.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.132.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.133.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.136.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.140.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.143.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.144.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.147.0/24 -j DROP $IPTABLES -I INPUT -s 217.23.151.0/24 -j DROP
Et voilà le travail !
En attendant les requêtes qui arrivent sur le serveur consomment inutilement le débit sur ma bande passante ...
Commentaires
Tu le met où ton fichier a la racine de ton site? je suis tres interesser par ton histoire.
Pardon en fait il s'agit d'un script shell.
J'ai oublié de déclarer la variable $IPTABLES dans le script. Je vais rajouter la déclaration au billet.
Ce script permet donner des ordres à Iptables, l'outils sous Linux qui permet de filtrer les packets réseau au niveau du kernel.
Si tu veux en savoir plus sur Iptables voici un excellent tutorial :
http://christian.caleca.free.fr/netfilter/iptables.htm
geeek.org, un site anti-communiste ?
Yann, les communistes ne font pas spam pour du Viagra si ?
Ah les spammeurs russes de TrackBack ... à devenir complètement taré hein ?
Ben pareil chez moi avec mon dotclear ...
Et la solution à fini pareil ... mais comme ça faisait un moment que ça durait ... j'ai cherché dans les logs apache, isolé les IP fautives, fait des whois et bing les plages de "caravan.ru".
Par contre, en utilisant les plages IP fournies par leurs whois, je pense que tu aurais moins de règles (si toutefois ça améloire qq ch :p )
Et pour rigoler encore un peu, je graphe les accès WebSpam vs. les accès Web.
Tout ça pour ajouter que dropper les paquets c'est bien, mais ... quand je fixe les règles à DROP, les russes continuent à mort ... en les passant à REJECT, leur méfaits se réduisent énormément ... je suppose que pour leur robot DROP = timeout = on reviens voir tout à l'heure ... alors que REJECT = pas bien, marche plus ...
Donc REJECT réduit bien plus le merdouilles
et si tu veux jeter un oeil sur le graphe :
http://admin.caranta.com/cacti/grap...
Voila ...
Arthur
PS : si tu veux, jne peux aussi t'envoyer mes règles iptables pour comparaison ... au cas où ... de mon côté je vais voir s'il m'en manque par rapport à toi
Hum il manque quelques plages d'ip, perso j'ai rajouté cette /21 dans mes règles ipf :
block in quick log proto tcp from 62.213.114.0/21 to any.
J'ai pas réussi à récupérer toutes les IPs déclarées sur leur AS, ta liste de départ m'a bien aidé, étant sujet au même flood
PS : des mois après ils sont toujours actifs leur !#@ de robots ...
moi aussi j'ai affaire a ces spammeur russes ! arf il on l'aire d'avoir un paquet de machine fantôme ou non ... Je suis entrain de réfléchir a une règle snort pour gérer tout ça plus en douceur.