Blog de Geeek, le blog geek par excellence par Ludovic Toinel ...

Balise - spam

Fil des billets - Fil des commentaires

lundi 7 avril 2008

Spam : Je fais le beau pour moins que Sarko

Par Ludovic Toinel le lundi 7 avril 2008, 23:29 - Sécurité

Voici un mail de spam reçu par un ami :

Sujet: je fais le beau pour moins que Sarko

De: <alabert.tulipmkfym@explosive.ro>

Date: Tue, 08 Apr 2008 02:46:50 +0600

Bonjour,

Moi j'ai trouve un site ou l'on peut acheter les mêmes montres que les riches mais 40 fois moins chers.

Personne ne voit la différence et c'est dingue mais les femmes y font vachement gaffe .. je me fais plus mater qu'avant !!

Un choix énorme des plus grandes marques sont la et livraison en 10 jours maximum.

http://xxxxx.com/

Au revoir,

Alain

Au lieu de vous inscrire sur Meetic, achetez-vous plutôt une montre :-)

Ce spammeur n'est pas à son premier coup :

http://www.google.fr/search?q=+dalian+Beijing+456123

un commentaire

jeudi 14 février 2008

I'm back ...

Par Ludovic Toinel le jeudi 14 février 2008, 00:09 - News

Me voilà de retour du Mexique, après trois semaines d'absence. Une tonne d'emails à trier, à répondre et à jeter ....

Et oui jeter, un spammeur a eu la bonne idée d'usurper mon adresse email pour vendre des pilules de type viagra sur Internet. Je reçois environ 200 mails par jour m'indiquant une "failure error" du type la boite email de xxx n'existe plus ou a dépassé son quota. C'est très énervant de se faire voler son identité sur le net, surtout quand il s'agit de spam.

Il n'y a rien d'autre à faire à part ajouter un filtre pour supprimer les messages automatiquement ... En espérant que ce spam ne dure pas trop longtemps dans le temps.

Ce qu'il me dérangerait le plus, serait de recevoir des mails des personnes spammées me demandant plus d'informations sur la pilule miracle.

Voici le message qui est envoyé aux personnes spammées :

Dear xxxx, Are you tired of performance doubts because of your cock size?

Improve your cock size and achieve stronger and harder erections. increase your male power with a unique system - a VPXL. Even if you already have a long cock and want to grow it even bigger, you can certainly do so. It works regardless of your cock size. The VPXL is a natural and safe product. Order our VPXL and your problems with cock size will become history.http://geocities.com/jacquesknox696/

Le spammeur utilise des serveurs SMTP relais pour diffuser ses mails. Il utilise aussi toute une liste de comptes sur Geocities pour annoncer ses pilules.

4 commentaires

mercredi 5 septembre 2007

Phishing abonnés de Free : Notification De Restriction De L'accès Au Compte

Par Ludovic Toinel le mercredi 5 septembre 2007, 22:47 - Free

freebox,free

Ne vous rendez surtout pas sur le lien contenu dans le mail !

Il s'agit d'un mail envoyé par des pirates pour récupérer les identifiants de votre compte Free.

Cher(e) client(e)

Merci de lire attentivement ce courrier. Il contient des informations essentielles, destinées à faciliter l'utilisation de votre compte Freebox et le recours à ses différents services.

Free.fr A l'honeur de vous annoncer qu'elle a enfin mis à votre disposition un systeme de sécurité total.

Pour en savois plus et souscrire a ce programme Veuillez cliquer sur le lien ci-dessous

https://security.free.fr/securitee-freebox/mai/client.php

Pour plus d'informations, nous vous invitons à consulter l'un des supports proposés ci-dessous : Site <http://adsl.free.fr> Free assistance : <http://www1.assistancefree.fr/v1/accueil/> Hotline : 32 44 (0,34 euro/mn depuis une ligne fixe). Le service est disponible 24h/24h, 7jours/7.

Merci de la confiance que vous nous témoignez. Nous vous souhaitons une agréable utilisation de votre Freebox,

L'équipe Freebox

aucun commentaire

vendredi 31 août 2007

Les spammeurs Russes bannis de Geeek.org

Par Ludovic Toinel le vendredi 31 août 2007, 22:45 - Sécurité

prison,spam

J'ai enfin réussi à lister les plages d'IP des machines qui floodent mon serveur Web de requêtes HTTP depuis plusieurs semaines.

Elles m'envoient en moyenne une requête par seconde et cela peut monter jusqu'à 100 requêtes simultanées certains soirs.

Il s'agit de serveurs Russes, plusieurs centaines de machines qui utilisent leurs bandes passantes à flooder le script de trackback "tb.php" de ma plateforme de blog.

Pour tracer la liste des IP floodeuses, j'ai développé rapidement un petit script PHP qui porte le même nom que le script de trackback "tb.php" et qui a comme seul objectif d'écrire les IP appelantes dans un fichier de log :

<?php

if (isset($_GET["id"])){
        $ip = $_SERVER['REMOTE_ADDR'];

        $data = "$ip\n"

        // Open the file and erase the contents if any
        $fp = fopen("spam.log", "a");

        // Write the data to the file
        fwrite($fp, $data);
       
        // Close the file
        fclose($fp);
}

?>

A partir du fichier produit, j'ai pu modifier les règles de mon firewall pour bloquer tous les paquets provenant de ces machines :

$IPTABLES -I INPUT -s 62.213.66.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.68.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.71.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.83.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.86.0/24 -j DROP

$IPTABLES -I INPUT -s 212.24.32.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.37.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.48.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.61.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.62.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.63.0/24 -j DROP

$IPTABLES -I INPUT -s 212.158.165.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.166.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.167.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.169.0/24 -j DROP

$IPTABLES -I INPUT -s 217.23.131.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.132.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.133.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.136.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.140.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.143.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.144.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.147.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.151.0/24 -j DROP

Et voilà le travail !

En attendant les requêtes qui arrivent sur le serveur consomment inutilement le débit sur ma bande passante ...

7 commentaires un rétrolien

jeudi 30 août 2007

Apache Mod_evasive : la solution contre les floods de spam

Par Ludovic Toinel le jeudi 30 août 2007, 23:26 - GNU-Linux

apache,linux,dos,spam,mod_evasive

Depuis plusieurs semaines mon serveur a quelques soucis de temps à autre suite à des floods inattendus de requêtes HTTP. Ces flood montent jusqu'à plus de 100 requêtes simultanées et provoquent une surconsommation CPU de mon serveur Web ainsi que des freeze au niveau Apache.

J'ai analysé les logs Apache, mais rien à faire les floodeurs proviennent d'adresse IP différentes.

J'ai donc installé un module Apache qui se nomme mod_evasive et qui permet de détecter les floods et les tentatives de déni de service. Ce module renvoie des erreurs HTTP 403 lorsque le seuil de sollicitation du serveur Web par IP a été dépassé. Ce blocage dure pendant 10 secondes (paramétrable). Il est aussi possible de demander au module d'exécuter une commande lorsque qu'un flood est détecté, il est ainsi possible d'ajouter une règle Iptables à chaque nouvelle détection de flood.

Ce module est téléchargeable depuis cette adresse :

http://www.zdziarski.com/projects/mod_evasive/

Il s'installe vraiment très simplement :

http://wiki.unelectronlibre.info/serveurweb/mod_evasive_avec_apache2

Cependant, il ne fonctionne pas correctement avec toutes les applications web, le chargement de la page d'administration de Dotclear2 pose un problème par exemple. Les icônes des plugins, dans le menu vertical, pointent tous vers la même URL : "index.php?pf=", lorsque la page est chargée par le navigateur, le module détecte plusieurs requêtes HTTP vers la même ressource et bloque le client, ce qui est très embêtant.

J'ai donc activé le module en mettant mon IP dans la Whitelist. Laissez-moi un message si vous êtes tombé sur des erreurs 403 Forbidden inattendues, je reparaméterai le module pour qu'il soit moins paranoïaque ;-)

6 commentaires

mercredi 8 août 2007

Erreurs 404 : Hits en echec sur mon serveur

Par Ludovic Toinel le mercredi 8 août 2007, 23:03 - Developpement

Depuis le début du mois :

/tb.php 	   149750
/robots.txt	 5004
/rss.php	  933

Impréssionnant !

En 8 jours, il y a eu 149750 hits HTTP vers le fichier "tb.php", le script de gestion des tracbacks de Dotclear1 qui n'existe plus sur Dotclear2. Cela en fait des tentatives de spam ..

aucun commentaire

mercredi 20 juin 2007

Spams : Merci Dotclear2 !

Par Ludovic Toinel le mercredi 20 juin 2007, 20:48 - Blogosphere

spam.png

5886 messages de spams reçus sur ce blog en 3 jours ... 99,9% de réussite de détection.

L'antispam de Dotclear2 est efficace !

4 commentaires

lundi 19 février 2007

Dotclear 2 beta 6 en téléchargement ...

Par Ludovic Toinel le lundi 19 février 2007, 22:49 - DotClear

dotclear.png

Voici une nouvelle version de Dotclear en libre téléchargement avec le nouveau système de protection de Spam (qui marche très bien).

Je vous avait annoncé il y a quelques jours, de la mise en place dans Dotclear 2 d'un nouveau système anti-spam, et bien voici une nouvelle version de Dotclear 2 bêta qui embarque cette amélioration :

http://www.dotclear.net/log/post/2007/02/19/Dotclear-2-beta-6

Le système anti-spam embarqué est constitué de 5 filtres activables, modifiables et organisables (le pied !):

  • IP Filter (Liste noire et blanche d'adresses IP)
  • Bad Words (Liste de termes interdits)
  • IP Lookup (Vérifie l'adresse IP de l'auteur sur des serveurs DNSBL)
  • Links Lookup (Vérifie les liens dans les commentaires sur surbl.org)
  • Akismet

Happy Blogging !

aucun commentaire

vendredi 29 décembre 2006

Presque la fin du spam d'email

Par Ludovic Toinel le vendredi 29 décembre 2006, 00:40 - GNU-Linux

fin_du_spam.png

La lutte continue....

aucun commentaire

dimanche 1 octobre 2006

Premiers spams sur Dotclear2

Par Ludovic Toinel le dimanche 1 octobre 2006, 22:50 - DotClear

dotclear.png

Voilà .... Cela fait une semaine que les premiers spam arrivent en force sur Dotclear2 (une centaine de commentaires environ). La spam-list installée par défaut n'est pas suffisante pour filtrer tout le spam, certains spam passent à travers les mailles.

3 commentaires

Derniers commentaires