J'ai un petit site web avec les logs à ma disposition, j'ai fait
ourner une webalizer dessus, et depuis deux ou trois semaines, et
j'ai des "Referres" incohérents: tous des sites XXX.
J'ai trouvé quelques références là-dessus dans le grand Ternet,
dont http://linuxfr.org/~mazet/4603.html et j'ai voulu en savoir
plus. Une rapide bidouille en Php, et voici le résultat de mes
premières réflexions: http://tth.vaboofer.com/spamweb/
Vu les résultats, je pense fortement à un réseau de zombies.
Qui aurait plus de détails ou d'idées à propos de ce truc ?
Je ne sais pas si c'est le bon groupe pour ça, n'hésitez pas
à foutouser ailleurs si vous connaissez mieux...
Th.
--
David Lightman: Is this a game or is it real?
Joshua: What's the difference?
David Lightman: Oh, wow.
<Directory /ton/site> Order Allow,Deny Deny from env=spammer </Directory>
c'est balancé comme ca sans vérif, ça mérite des tests pour être sûr :-) (notamment le Order Allow,Deny, je me goure a chaque fois, ca rentre pas)
Il ne te reste qu'a générer ton .htaccess régulièrement quand de nouvelles adresses louches apparaissent dans tes logs. Cette méthode t'évite de te prendre la tete a mettre a jour une liste d'IP et un filtrage sur ces IP (ce qui ne serait pas super malin vu que pas mal sont dynamiques dans ta liste)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <slrnc24gtt.n7m.tth@zouh.net1.nerim.net>,
Thierry Boudet <tth@zouh.org> wrote:
Une rapide bidouille en Php, et voici le résultat de mes
premières réflexions: http://tth.vaboofer.com/spamweb/
interessant.
Qui aurait plus de détails ou d'idées à propos de ce truc ?
j'ai pas de détails, mais j'ai des idées ;)
tu poses notamment cette question sur ta page :
Je suis en train de regarder les parades, à base de setenvif
et access probablement. Mais comment mettre à jour la blacklist ?
tu peux donc faire un .htaccess qui filtrerait les gens selon leur
referer :
<Directory /ton/site>
Order Allow,Deny
Deny from env=spammer
</Directory>
c'est balancé comme ca sans vérif, ça mérite des tests pour être sûr :-)
(notamment le Order Allow,Deny, je me goure a chaque fois, ca rentre pas)
Il ne te reste qu'a générer ton .htaccess régulièrement quand de
nouvelles adresses louches apparaissent dans tes logs.
Cette méthode t'évite de te prendre la tete a mettre a jour une liste
d'IP et un filtrage sur ces IP (ce qui ne serait pas super malin vu que
pas mal sont dynamiques dans ta liste)
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
<Directory /ton/site> Order Allow,Deny Deny from env=spammer </Directory>
c'est balancé comme ca sans vérif, ça mérite des tests pour être sûr :-) (notamment le Order Allow,Deny, je me goure a chaque fois, ca rentre pas)
Il ne te reste qu'a générer ton .htaccess régulièrement quand de nouvelles adresses louches apparaissent dans tes logs. Cette méthode t'évite de te prendre la tete a mettre a jour une liste d'IP et un filtrage sur ces IP (ce qui ne serait pas super malin vu que pas mal sont dynamiques dans ta liste)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
Thierry Boudet
Le 06-02-2004, patpro a écrit :
tu peux donc faire un .htaccess qui filtrerait les gens selon leur referer :
<Directory /ton/site> Order Allow,Deny Deny from env=spammer </Directory>
c'est balancé comme ca sans vérif, ça mérite des tests pour être sûr :-) (notamment le Order Allow,Deny, je me goure a chaque fois, ca rentre pas)
A vue de nez, ça me semble correct, tout ça. J'étais arrivé en gros
à la même chose. Mais ça ne résout pas le soucis sur la BP...
Il ne te reste qu'a générer ton .htaccess régulièrement quand de nouvelles adresses louches apparaissent dans tes logs.
ouais... enfin c'est pas trop drole à faire :(
Cette méthode t'évite de te prendre la tete a mettre a jour une liste d'IP et un filtrage sur ces IP (ce qui ne serait pas super malin vu que pas mal sont dynamiques dans ta liste)
En effet, en regardant les @ip, c'est des /24 qu'il faudrait couper.
Non, ce qui me tracasse, c'est que je n'ai pas vraiment trouvé de détails sur ce type précis d'"attaque", et que c'est manifestement un truc distribué. Dès que j'ai deux heures dispo, je vais passer mon access_log à la moulinette pour avoir, par exemple, un histogramme dans le temps, une localisation plus précise des @ip..
En tout cas, dans le webalizer, il y a une requete de moteur de recherche: "allinurl: /usage_200312.html site:.com" qui vient de Roumanie. Il semblerait que je ne sois pas le seul à avoir ça.
Si j'ai des résultats, je vous en ferais part. Bonne nuit.
Th.
-- David Lightman: Is this a game or is it real? Joshua: What's the difference? David Lightman: Oh, wow.
Le 06-02-2004, patpro <patpro@boleskine.patpro.net> a écrit :
tu peux donc faire un .htaccess qui filtrerait les gens selon leur
referer :
<Directory /ton/site>
Order Allow,Deny
Deny from env=spammer
</Directory>
c'est balancé comme ca sans vérif, ça mérite des tests pour être sûr :-)
(notamment le Order Allow,Deny, je me goure a chaque fois, ca rentre pas)
A vue de nez, ça me semble correct, tout ça. J'étais arrivé en gros
à la même chose. Mais ça ne résout pas le soucis sur la BP...
Il ne te reste qu'a générer ton .htaccess régulièrement quand de
nouvelles adresses louches apparaissent dans tes logs.
ouais... enfin c'est pas trop drole à faire :(
Cette méthode t'évite de te prendre la tete a mettre a jour une liste
d'IP et un filtrage sur ces IP (ce qui ne serait pas super malin vu que
pas mal sont dynamiques dans ta liste)
En effet, en regardant les @ip, c'est des /24 qu'il faudrait couper.
Non, ce qui me tracasse, c'est que je n'ai pas vraiment trouvé de
détails sur ce type précis d'"attaque", et que c'est manifestement
un truc distribué. Dès que j'ai deux heures dispo, je vais passer
mon access_log à la moulinette pour avoir, par exemple, un histogramme
dans le temps, une localisation plus précise des @ip..
En tout cas, dans le webalizer, il y a une requete de moteur de
recherche: "allinurl: /usage_200312.html site:.com" qui vient de
Roumanie. Il semblerait que je ne sois pas le seul à avoir ça.
Si j'ai des résultats, je vous en ferais part. Bonne nuit.
Th.
--
David Lightman: Is this a game or is it real?
Joshua: What's the difference?
David Lightman: Oh, wow.
<Directory /ton/site> Order Allow,Deny Deny from env=spammer </Directory>
c'est balancé comme ca sans vérif, ça mérite des tests pour être sûr :-) (notamment le Order Allow,Deny, je me goure a chaque fois, ca rentre pas)
A vue de nez, ça me semble correct, tout ça. J'étais arrivé en gros
à la même chose. Mais ça ne résout pas le soucis sur la BP...
Il ne te reste qu'a générer ton .htaccess régulièrement quand de nouvelles adresses louches apparaissent dans tes logs.
ouais... enfin c'est pas trop drole à faire :(
Cette méthode t'évite de te prendre la tete a mettre a jour une liste d'IP et un filtrage sur ces IP (ce qui ne serait pas super malin vu que pas mal sont dynamiques dans ta liste)
En effet, en regardant les @ip, c'est des /24 qu'il faudrait couper.
Non, ce qui me tracasse, c'est que je n'ai pas vraiment trouvé de détails sur ce type précis d'"attaque", et que c'est manifestement un truc distribué. Dès que j'ai deux heures dispo, je vais passer mon access_log à la moulinette pour avoir, par exemple, un histogramme dans le temps, une localisation plus précise des @ip..
En tout cas, dans le webalizer, il y a une requete de moteur de recherche: "allinurl: /usage_200312.html site:.com" qui vient de Roumanie. Il semblerait que je ne sois pas le seul à avoir ça.
Si j'ai des résultats, je vous en ferais part. Bonne nuit.
Th.
-- David Lightman: Is this a game or is it real? Joshua: What's the difference? David Lightman: Oh, wow.
patpro
In article , Thierry Boudet wrote:
Le 06-02-2004, patpro a écrit :
tu peux donc faire un .htaccess qui filtrerait les gens selon leur referer :
A vue de nez, ça me semble correct, tout ça. J'étais arrivé en gros à la même chose. Mais ça ne résout pas le soucis sur la BP...
je ne vois pas de pénalité en BP, dans la mesure ou la machine en face prend un simple header 403 forbidden avec 2 grammes de texte. Tu peux faire un redirect vers fbi.gov a la place, mais tu gagneras vraiment 3 fois rien.
Eventuellement pour ralentir la machine en face tu peux rediriger sa requête vers une page php chez toi qui ne répond rien (a la place du deny) et dont le code serait
Au passage tu peux même extraire le domaine du referer et l'inclure dans ta liste.
Quoi qu'il en soit c'est vraiment négligeable cette histoire de bande passante.
Il ne te reste qu'a générer ton .htaccess régulièrement quand de nouvelles adresses louches apparaissent dans tes logs.
ouais... enfin c'est pas trop drole à faire :(
si tu publies la liste de maniere accessible, nul doute que d'autres auront envie de la compléter. Si tu veux je peux greper mes logs raidos.
Non, ce qui me tracasse, c'est que je n'ai pas vraiment trouvé de détails sur ce type précis d'"attaque", et que c'est manifestement un truc distribué. Dès que j'ai deux heures dispo, je vais passer mon access_log à la moulinette pour avoir, par exemple, un histogramme dans le temps, une localisation plus précise des @ip..
a mon avis c'est purement viral. Un troyen et hop, un script qui fait la peche au site web pour promouvoir un site porno.
Si j'ai des résultats, je vous en ferais part. Bonne nuit.
avec plaisir.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <slrnc286st.r3t.tth@zouh.net1.nerim.net>,
Thierry Boudet <tth@zouh.org> wrote:
Le 06-02-2004, patpro <patpro@boleskine.patpro.net> a écrit :
tu peux donc faire un .htaccess qui filtrerait les gens selon leur
referer :
A vue de nez, ça me semble correct, tout ça. J'étais arrivé en gros
à la même chose. Mais ça ne résout pas le soucis sur la BP...
je ne vois pas de pénalité en BP, dans la mesure ou la machine en face
prend un simple header 403 forbidden avec 2 grammes de texte. Tu peux
faire un redirect vers fbi.gov a la place, mais tu gagneras vraiment 3
fois rien.
Eventuellement pour ralentir la machine en face tu peux rediriger sa
requête vers une page php chez toi qui ne répond rien (a la place du
deny) et dont le code serait
Au passage tu peux même extraire le domaine du referer et l'inclure dans
ta liste.
Quoi qu'il en soit c'est vraiment négligeable cette histoire de bande
passante.
Il ne te reste qu'a générer ton .htaccess régulièrement quand de
nouvelles adresses louches apparaissent dans tes logs.
ouais... enfin c'est pas trop drole à faire :(
si tu publies la liste de maniere accessible, nul doute que d'autres
auront envie de la compléter. Si tu veux je peux greper mes logs raidos.
Non, ce qui me tracasse, c'est que je n'ai pas vraiment trouvé de
détails sur ce type précis d'"attaque", et que c'est manifestement
un truc distribué. Dès que j'ai deux heures dispo, je vais passer
mon access_log à la moulinette pour avoir, par exemple, un histogramme
dans le temps, une localisation plus précise des @ip..
a mon avis c'est purement viral. Un troyen et hop, un script qui fait la
peche au site web pour promouvoir un site porno.
Si j'ai des résultats, je vous en ferais part. Bonne nuit.
avec plaisir.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
tu peux donc faire un .htaccess qui filtrerait les gens selon leur referer :
A vue de nez, ça me semble correct, tout ça. J'étais arrivé en gros à la même chose. Mais ça ne résout pas le soucis sur la BP...
je ne vois pas de pénalité en BP, dans la mesure ou la machine en face prend un simple header 403 forbidden avec 2 grammes de texte. Tu peux faire un redirect vers fbi.gov a la place, mais tu gagneras vraiment 3 fois rien.
Eventuellement pour ralentir la machine en face tu peux rediriger sa requête vers une page php chez toi qui ne répond rien (a la place du deny) et dont le code serait
Au passage tu peux même extraire le domaine du referer et l'inclure dans ta liste.
Quoi qu'il en soit c'est vraiment négligeable cette histoire de bande passante.
Il ne te reste qu'a générer ton .htaccess régulièrement quand de nouvelles adresses louches apparaissent dans tes logs.
ouais... enfin c'est pas trop drole à faire :(
si tu publies la liste de maniere accessible, nul doute que d'autres auront envie de la compléter. Si tu veux je peux greper mes logs raidos.
Non, ce qui me tracasse, c'est que je n'ai pas vraiment trouvé de détails sur ce type précis d'"attaque", et que c'est manifestement un truc distribué. Dès que j'ai deux heures dispo, je vais passer mon access_log à la moulinette pour avoir, par exemple, un histogramme dans le temps, une localisation plus précise des @ip..
a mon avis c'est purement viral. Un troyen et hop, un script qui fait la peche au site web pour promouvoir un site porno.
Si j'ai des résultats, je vous en ferais part. Bonne nuit.
avec plaisir.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php