prison,spam

J'ai enfin réussi à lister les plages d'IP des machines qui floodent mon serveur Web de requêtes HTTP depuis plusieurs semaines.

Elles m'envoient en moyenne une requête par seconde et cela peut monter jusqu'à 100 requêtes simultanées certains soirs.

Il s'agit de serveurs Russes, plusieurs centaines de machines qui utilisent leurs bandes passantes à flooder le script de trackback "tb.php" de ma plateforme de blog.

Pour tracer la liste des IP floodeuses, j'ai développé rapidement un petit script PHP qui porte le même nom que le script de trackback "tb.php" et qui a comme seul objectif d'écrire les IP appelantes dans un fichier de log :

<?php

if (isset($_GET["id"])){
	$ip = $_SERVER['REMOTE_ADDR'];

	$data = "$ip\n";  

	// Open the file and erase the contents if any
	$fp = fopen("spam.log", "a");

	// Write the data to the file
	fwrite($fp, $data);
	
	// Close the file
	fclose($fp);
}

?>

A partir du fichier produit, j'ai pu modifier les règles de mon firewall pour bloquer tous les paquets provenant de ces machines :

$IPTABLES -I INPUT -s 62.213.66.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.68.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.71.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.83.0/24 -j DROP
$IPTABLES -I INPUT -s 62.213.86.0/24 -j DROP

$IPTABLES -I INPUT -s 212.24.32.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.37.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.48.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.61.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.62.0/24 -j DROP
$IPTABLES -I INPUT -s 212.24.63.0/24 -j DROP

$IPTABLES -I INPUT -s 212.158.165.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.166.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.167.0/24 -j DROP
$IPTABLES -I INPUT -s 212.158.169.0/24 -j DROP

$IPTABLES -I INPUT -s 217.23.131.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.132.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.133.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.136.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.140.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.143.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.144.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.147.0/24 -j DROP
$IPTABLES -I INPUT -s 217.23.151.0/24 -j DROP

Et voilà le travail !

En attendant les requêtes qui arrivent sur le serveur consomment inutilement le débit sur ma bande passante ...

  • Clone carte RFID Mifare

    Hacking : Comment cloner une carte RFID ?

    Les cartes RFID Mifare 1K possèdent deux protections principales : Le block 0 est en lecture seule, seul le constructeur de la carte peut initialiser ce block. Les données écrites sur les cartes sont encryptées. Il existe cependant des solutions pour outrepasser ces protections et permettre de créer des copies exactes. Cet article détaille la procédure pour cloner une carte RFID Mifare 1k sous Linux.

  • Tutoriel Backtrack 5 : Comment cracker un réseau Wifi protégé avec du WPA

    Voici un tutoriel intéressant sur les outils de bruteforce WPA mis à disposition dans la distribution Linux Backtrack 5.

1. Le , 12:52 par viking76
097881fd298a5847dc9fdfd77618f53f

Tu le met où ton fichier a la racine de ton site? je suis tres interesser par ton histoire.

2. Le , 14:01 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

Pardon en fait il s'agit d'un script shell.


J'ai oublié de déclarer la variable $IPTABLES dans le script. Je vais rajouter la déclaration au billet.
Ce script permet donner des ordres à Iptables, l'outils sous Linux qui permet de filtrer les packets réseau au niveau du kernel.

Si tu veux en savoir plus sur Iptables voici un excellent tutorial :
http://christian.caleca.free.fr/netfilter/iptables.htm



3. Le , 18:27 par yann
058fefedbdbee23fea1270002307c594

geeek.org, un site anti-communiste ?

4. Le , 00:02 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

Yann, les communistes ne font pas spam pour du Viagra si ?

5. Le , 12:01 par Arthur
e278b00ff402998d5839b9ee5ebb686a

Ah les spammeurs russes de TrackBack ... à devenir complètement taré hein ?

Ben pareil chez moi avec mon dotclear ...

Et la solution à fini pareil ... mais comme ça faisait un moment que ça durait ... j'ai cherché dans les logs apache, isolé les IP fautives, fait des whois et bing les plages de "caravan.ru".

Par contre, en utilisant les plages IP fournies par leurs whois, je pense que tu aurais moins de règles (si toutefois ça améloire qq ch :p )

Et pour rigoler encore un peu, je graphe les accès WebSpam vs. les accès Web.

Tout ça pour ajouter que dropper les paquets c'est bien, mais ... quand je fixe les règles à DROP, les russes continuent à mort ... en les passant à REJECT, leur méfaits se réduisent énormément ... je suppose que pour leur robot DROP = timeout = on reviens voir tout à l'heure ... alors que REJECT = pas bien, marche plus ...

Donc REJECT réduit bien plus le merdouilles ;)

et si tu veux jeter un oeil sur le graphe :
http://admin.caranta.com/cacti/grap...

Voila ...

Arthur
PS : si tu veux, jne peux aussi t'envoyer mes règles iptables pour comparaison ... au cas où ... de mon côté je vais voir s'il m'en manque par rapport à toi ;)

6. Le , 17:11 par Chamal
67967c028a36dacc7dc43a6f272062f3

Hum il manque quelques plages d'ip, perso j'ai rajouté cette /21 dans mes règles ipf :

block in quick log proto tcp from 62.213.114.0/21 to any.

J'ai pas réussi à récupérer toutes les IPs déclarées sur leur AS, ta liste de départ m'a bien aidé, étant sujet au même flood :-/

PS : des mois après ils sont toujours actifs leur !#@ de robots ...

7. Le , 16:09 par Alban
4b3a01036b1774aa17005035da198abd

moi aussi j'ai affaire a ces spammeur russes ! arf il on l'aire d'avoir un paquet de machine fantôme ou non ... Je suis entrain de réfléchir a une règle snort pour gérer tout ça plus en douceur.

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.