** Abstract: Voici un petit exemple simple de spam et de moyen
permettant de traquer l'IP qui a effectuée la récupération des emails.
** Pré-requis des spammers:
Les spammers veulent des emails et remplissent des bases de données
avec. Pour cela différentes méthodes sont utilisées.
Notamment, ils vont sur les sites web et recherchent des champs HTML "<
href=mailto:xxx@yyy.zzz>" pour collecter des adresses.
Sur le site frenchhoneynet.org, de manière temporaire, j'ai changé le
bas de la page, avec une adresse email dynamiquement générée, contenant
l'IP du client, le jour, l'heure, les minutes.
Ces adresses emails sont filtrés lorsque quelqu'un les utilisent.
** Analyse d'un petit exemple
Ce matin ("un lapin.."), j'ai reçu le mail suivant (rendu plus anonyme
par endroit ; ce ne sont pas les vraies données copiées/collées) :
-------------------8<------------------------8<----------------------------
From - Sun Nov 23 09:38:56 2003
Return-Path: <xxxxxx@xxxxxxxxx.it>
(...)
Received: from 62.80.122.198 (unknown [213.176.81.230])
by glenlivet.gandi.net (Postfix) with SMTP id CFDB34477F8
for <216.138.217.106_03-11-15-202-spam@frenchhoneynet.org>; Sun, 23 Nov
2003 05:56:20 +0100 (CET)
Received: from [71.129.206.209] by 62.80.122.198 with SMTP; Sun, 23 Nov
2003 09:51:04 +0500
Message-ID: <2q49epx$z5$422z2o--4@yp9bd.5mgn>
From: "Merrill Beatty" <xxxxxx@xxxxxxxxx.it>
Reply-To: "Merrill Beatty" <xxxxxx@xxxxxxxxx.it>
To: <216.138.217.106_03-11-15-202-spam@frenchhoneynet.org>
Subject: No more visits to your doc. fam
Date: Sun, 23 Nov 03 09:51:04 GMT
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="A.1BC_F_._D.4F7__E."
X-Priority: 3
X-MSMail-Priority: Normal
Our US Licensed Doctors will Prescribe Your Medication For Free
And Have the Medication Shipped Overnight To Your Door Overnight!
Lowest Prices!
(...)
-------------------8<------------------------8<----------------------------
Le mail a donc été envoyé à
216.138.217.106_03-11-15-202-spam@frenchhoneynet.org
Ce qui signifie que celui qui a collecté cette adresse email avait
l'adresse IP : 216.138.217.106, c'était le 25 nov dernier, vers 2h AM
En recherchant dans les logs je retrouve donc :
216.138.217.106 - - [15/Nov/2003:02:02:30 +0200] "GET /contacts.php
HTTP/1.1" 200 2016 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT;
DigExt; DTS Agent" - honeynet.rstack.org
- Pas de REFERER, arrivée directement sur /contacts.php (utilisent-ils
un truc du style allinurl:contacts sur google ?)
- Un browser web soit disant : "Mozilla/4.0 (compatible; MSIE 5.0;
Windows NT; DigExt; DTS Agent"
- On rigolera de voir le client mail utilisé (autre fausse info) :
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
etc, etc.
** Conclusions
Les spammers continuent de fouiller vos pages web à la recherche de
champs "mailto" pour vous inscrire automatiquement aux ML.
Ils lisent aussi les news (d'ailleurs je suis en train de me faire
chopper si ça se trouve), et bien d'autres sources.
Si les honeypots (pots de miel, leurres informatiques) vous intéressent,
vous pouvez rejoindre la mailing liste publique du french honeynet
project (voir http://honeynet.rstack.org/community.php).
Cette initiative française était annoncée dans le dernier MISC 10
(http://www.miscmag.com/). MISC a appuyé fortement sa création.
[couv MISC10: http://www.miscmag.com/articles/Images/misc-last.jpg]
Laurent OUDOT , le 23 nov. 2003 16:40:40, écrivait ceci:
Les spammers continuent de fouiller vos pages web à la recherche de champs "mailto" pour vous inscrire automatiquement aux ML.
Bah oui pourquoi il changeraient leur bots qui remplissent leur fichiers ? Un petit script php que je trouve rigolo : http://www.nachix.com/anti-spam/
Patrick \Zener\ BRUNET
Bonjour.
En voici un autre qui me semble mieux conçu (à discuter). Notamment l'auteur s'est pas mal posé de questions pour ne pas saboter les moteurs d'indexation officiels.
http://www.monkeys.com/wpoison/
Il reste effectivement un problème potentiel à régler : celui de l'identification du script par le bot s'il n'est pas trop con. Spécialistes à vos scripts (en vous souvenant que beaucoup d'ISP ne permettent pas de faire tout ce qu'on voudrait côté serveur).
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC en question, quel peut être la peine encourue pour une telle pollution volontaire de bases de données commerciales ? Ce serait le comble, mais...
En voici un autre qui me semble mieux conçu (à discuter). Notamment l'auteur
s'est pas mal posé de questions pour ne pas saboter les moteurs d'indexation
officiels.
http://www.monkeys.com/wpoison/
Il reste effectivement un problème potentiel à régler : celui de
l'identification du script par le bot s'il n'est pas trop con. Spécialistes
à vos scripts (en vous souvenant que beaucoup d'ISP ne permettent pas de
faire tout ce qu'on voudrait côté serveur).
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC
en question, quel peut être la peine encourue pour une telle pollution
volontaire de bases de données commerciales ? Ce serait le comble, mais...
En voici un autre qui me semble mieux conçu (à discuter). Notamment l'auteur s'est pas mal posé de questions pour ne pas saboter les moteurs d'indexation officiels.
http://www.monkeys.com/wpoison/
Il reste effectivement un problème potentiel à régler : celui de l'identification du script par le bot s'il n'est pas trop con. Spécialistes à vos scripts (en vous souvenant que beaucoup d'ISP ne permettent pas de faire tout ce qu'on voudrait côté serveur).
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC en question, quel peut être la peine encourue pour une telle pollution volontaire de bases de données commerciales ? Ce serait le comble, mais...
On Mon, 24 Nov 2003 09:17:45 +0000, Patrick "Zener" BRUNET wrote:
http://www.monkeys.com/wpoison/
Pas mal, pas mal ...
Il reste effectivement un problème potentiel à régler : celui de l'identification du script par le bot s'il n'est pas trop con.
C'est pour ça que je l'ai renommé sur mon site en "sp4mbots.cgi". J'ai donc combiné une page statique pleine de fausses adresses, avec un lien vers ma copie locale de wpoison.pl :
http://nicob.net/tools/contrib.html
Si tous les lecteurs du newsgroup ayant une page perso faisaient ça, pensez-vous qu'on embêterait sérieusement les spammers ?
Nicob
On Mon, 24 Nov 2003 09:17:45 +0000, Patrick "Zener" BRUNET wrote:
http://www.monkeys.com/wpoison/
Pas mal, pas mal ...
Il reste effectivement un problème potentiel à régler : celui de
l'identification du script par le bot s'il n'est pas trop con.
C'est pour ça que je l'ai renommé sur mon site en "sp4mbots.cgi". J'ai
donc combiné une page statique pleine de fausses adresses, avec un lien
vers ma copie locale de wpoison.pl :
http://nicob.net/tools/contrib.html
Si tous les lecteurs du newsgroup ayant une page perso faisaient ça,
pensez-vous qu'on embêterait sérieusement les spammers ?
On Mon, 24 Nov 2003 09:17:45 +0000, Patrick "Zener" BRUNET wrote:
http://www.monkeys.com/wpoison/
Pas mal, pas mal ...
Il reste effectivement un problème potentiel à régler : celui de l'identification du script par le bot s'il n'est pas trop con.
C'est pour ça que je l'ai renommé sur mon site en "sp4mbots.cgi". J'ai donc combiné une page statique pleine de fausses adresses, avec un lien vers ma copie locale de wpoison.pl :
http://nicob.net/tools/contrib.html
Si tous les lecteurs du newsgroup ayant une page perso faisaient ça, pensez-vous qu'on embêterait sérieusement les spammers ?
Nicob
Xavier Roche
Patrick "Zener" BRUNET wrote:
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC en question, quel peut être la peine encourue pour une telle pollution volontaire de bases de données commerciales ? Ce serait le comble, mais...
On s'en tape: la collecte "déloyale" (loi 78-17) de données nominatives est un crime passible de prison au pénal. Alors, la pollution de base ..
Patrick "Zener" BRUNET wrote:
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC
en question, quel peut être la peine encourue pour une telle pollution
volontaire de bases de données commerciales ? Ce serait le comble, mais...
On s'en tape: la collecte "déloyale" (loi 78-17) de données nominatives
est un crime passible de prison au pénal. Alors, la pollution de base ..
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC en question, quel peut être la peine encourue pour une telle pollution volontaire de bases de données commerciales ? Ce serait le comble, mais...
On s'en tape: la collecte "déloyale" (loi 78-17) de données nominatives est un crime passible de prison au pénal. Alors, la pollution de base ..
Voyageurs
Si tous les lecteurs du newsgroup ayant une page perso faisaient ça, pensez-vous qu'on embêterait sérieusement les spammers ?
Pas vraiment. Cette technique est plus une nuissance qu'autre chose.
Ceux qui l'utilisent montrent simplement qu'ils n'ont rien compris au problême du spam.
Si tous les lecteurs du newsgroup ayant une page perso faisaient ça,
pensez-vous qu'on embêterait sérieusement les spammers ?
Pas vraiment. Cette technique est plus une nuissance qu'autre chose.
Ceux qui l'utilisent montrent simplement qu'ils n'ont rien compris au
problême du spam.
Si tous les lecteurs du newsgroup ayant une page perso faisaient ça, pensez-vous qu'on embêterait sérieusement les spammers ?
Pas vraiment. Cette technique est plus une nuissance qu'autre chose.
Ceux qui l'utilisent montrent simplement qu'ils n'ont rien compris au problême du spam.
Patrick \Zener\ BRUNET
Bonjour.
"Xavier Roche" a écrit dans le message news: bpsj3q$ibp$
Patrick "Zener" BRUNET wrote:
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC
en question, quel peut être la peine encourue pour une telle pollution volontaire de bases de données commerciales ? Ce serait le comble, mais...
On s'en tape: la collecte "déloyale" (loi 78-17) de données nominatives est un crime passible de prison au pénal. Alors, la pollution de base ..
Oui, mais la légitime défense hors cas d'agression physique sur humain n'est pas vraiment reconnue.
La justice peut s'en tirer avec gloire en condamnant l'un (sans application puisqu'inaccessible) pour collecte déloyale, et l'autre pour sabotage volontaire ! C'est nul mais ça lui permet d'exister :-{
Pour analogie, voir les articles récents dans 01 et LMI sur le rôle intenable du DSI coincé entre une obligation légale de sécurité et les règles de la confidentialité des données individuelles.
Il est à craindre que celui dont l'avocat gueule le plus fort ait finalement raison, ou donc alors : torts partagés.
Dura lex, sed lex.
(je ne suis pas juriste professionnel, mais j'ai déjà eu à étudier des problèmes sur le plan technique et c'est pas vraiment rationnel).
Cordialement, PZB
Bonjour.
"Xavier Roche" <xroche@free.fr.NOSPAM.invalid> a écrit dans le message news:
bpsj3q$ibp$1@s1.read.news.oleane.net...
Patrick "Zener" BRUNET wrote:
Au fait, après avoir lu le passage juridique sur les honeypots dans le
MISC
en question, quel peut être la peine encourue pour une telle pollution
volontaire de bases de données commerciales ? Ce serait le comble,
mais...
On s'en tape: la collecte "déloyale" (loi 78-17) de données nominatives
est un crime passible de prison au pénal. Alors, la pollution de base ..
Oui, mais la légitime défense hors cas d'agression physique sur humain n'est
pas vraiment reconnue.
La justice peut s'en tirer avec gloire en condamnant l'un (sans application
puisqu'inaccessible) pour collecte déloyale, et l'autre pour sabotage
volontaire ! C'est nul mais ça lui permet d'exister :-{
Pour analogie, voir les articles récents dans 01 et LMI sur le rôle
intenable du DSI coincé entre une obligation légale de sécurité et les
règles de la confidentialité des données individuelles.
Il est à craindre que celui dont l'avocat gueule le plus fort ait finalement
raison, ou donc alors : torts partagés.
Dura lex, sed lex.
(je ne suis pas juriste professionnel, mais j'ai déjà eu à étudier des
problèmes sur le plan technique et c'est pas vraiment rationnel).
"Xavier Roche" a écrit dans le message news: bpsj3q$ibp$
Patrick "Zener" BRUNET wrote:
Au fait, après avoir lu le passage juridique sur les honeypots dans le MISC
en question, quel peut être la peine encourue pour une telle pollution volontaire de bases de données commerciales ? Ce serait le comble, mais...
On s'en tape: la collecte "déloyale" (loi 78-17) de données nominatives est un crime passible de prison au pénal. Alors, la pollution de base ..
Oui, mais la légitime défense hors cas d'agression physique sur humain n'est pas vraiment reconnue.
La justice peut s'en tirer avec gloire en condamnant l'un (sans application puisqu'inaccessible) pour collecte déloyale, et l'autre pour sabotage volontaire ! C'est nul mais ça lui permet d'exister :-{
Pour analogie, voir les articles récents dans 01 et LMI sur le rôle intenable du DSI coincé entre une obligation légale de sécurité et les règles de la confidentialité des données individuelles.
Il est à craindre que celui dont l'avocat gueule le plus fort ait finalement raison, ou donc alors : torts partagés.
Dura lex, sed lex.
(je ne suis pas juriste professionnel, mais j'ai déjà eu à étudier des problèmes sur le plan technique et c'est pas vraiment rationnel).
Cordialement, PZB
Xavier Roche
Patrick "Zener" BRUNET wrote:
Oui, mais la légitime défense hors cas d'agression physique sur humain n'est pas vraiment reconnue. La justice peut s'en tirer avec gloire en condamnant l'un (sans application puisqu'inaccessible) pour collecte déloyale, et l'autre pour sabotage volontaire ! C'est nul mais ça lui permet d'exister :-{
Tout à fait - mais rien n'oblige non plus à garantir la validité des adresses email sur un site -après tout c'est ma liberté d'artiste si je choisis de faire des pages web avec 10000 adresses email invalides-, donc ce serait très difficilement attaquable.
Pour analogie, voir les articles récents dans 01 et LMI sur le rôle intenable du DSI coincé entre une obligation légale de sécurité et les règles de la confidentialité des données individuelles.
Oui la loi informatique et libertés (IP=donnée nominative) vs la LEN (rétention des logs obligatoires)
Patrick "Zener" BRUNET wrote:
Oui, mais la légitime défense hors cas d'agression physique sur humain n'est
pas vraiment reconnue.
La justice peut s'en tirer avec gloire en condamnant l'un (sans application
puisqu'inaccessible) pour collecte déloyale, et l'autre pour sabotage
volontaire ! C'est nul mais ça lui permet d'exister :-{
Tout à fait - mais rien n'oblige non plus à garantir la validité des
adresses email sur un site -après tout c'est ma liberté d'artiste si je
choisis de faire des pages web avec 10000 adresses email invalides-,
donc ce serait très difficilement attaquable.
Pour analogie, voir les articles récents dans 01 et LMI sur le rôle
intenable du DSI coincé entre une obligation légale de sécurité et les
règles de la confidentialité des données individuelles.
Oui la loi informatique et libertés (IP=donnée nominative) vs la LEN
(rétention des logs obligatoires)
Oui, mais la légitime défense hors cas d'agression physique sur humain n'est pas vraiment reconnue. La justice peut s'en tirer avec gloire en condamnant l'un (sans application puisqu'inaccessible) pour collecte déloyale, et l'autre pour sabotage volontaire ! C'est nul mais ça lui permet d'exister :-{
Tout à fait - mais rien n'oblige non plus à garantir la validité des adresses email sur un site -après tout c'est ma liberté d'artiste si je choisis de faire des pages web avec 10000 adresses email invalides-, donc ce serait très difficilement attaquable.
Pour analogie, voir les articles récents dans 01 et LMI sur le rôle intenable du DSI coincé entre une obligation légale de sécurité et les règles de la confidentialité des données individuelles.
Oui la loi informatique et libertés (IP=donnée nominative) vs la LEN (rétention des logs obligatoires)
Thierry
Bonjour,
Laurent OUDOT a écrit :
Sur le site frenchhoneynet.org, de manière temporaire, j'ai changé le bas de la page, avec une adresse email dynamiquement générée, contenant l'IP du client, le jour, l'heure, les minutes.
Ca c'est rigolo.
Je suis en train de chercher un moyen pour eviter que les redacteurs du site que je maintiens se fassent spammer. J'ai mis differentes adresses protegées par des methodes differentes dans une page de pour connaitre la plus efficace. "Maleurheusement" aucun SPAM sur ces adresses du type <A HREF=mailto:....></a>. Les robots arriveraient a detecter que ce sont des leurres du fait qu'il n'y a rien entre les ancres????
Niveau solutions: a priori les robots ignorent les formulaires, non ? Pour l'instant je pense passer par formulaire (POST) l'identifiant du redacteur a un script qui balance le lien mailto (header("Location: mailto:...) C'est suffisant a votre avis ? D'autres techniques plus robustes a proposer ?
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Bonjour,
Laurent OUDOT a écrit :
Sur le site frenchhoneynet.org, de manière temporaire, j'ai changé le
bas de la page, avec une adresse email dynamiquement générée, contenant
l'IP du client, le jour, l'heure, les minutes.
Ca c'est rigolo.
Je suis en train de chercher un moyen pour eviter que les redacteurs du
site que je maintiens se fassent spammer.
J'ai mis differentes adresses protegées par des methodes differentes dans
une page de pour connaitre la plus efficace. "Maleurheusement" aucun SPAM
sur ces adresses du type <A HREF=mailto:....></a>. Les robots arriveraient
a detecter que ce sont des leurres du fait qu'il n'y a rien entre les
ancres????
Niveau solutions: a priori les robots ignorent les formulaires, non ?
Pour l'instant je pense passer par formulaire (POST) l'identifiant du
redacteur a un script qui balance le lien mailto (header("Location:
mailto:...)
C'est suffisant a votre avis ?
D'autres techniques plus robustes a proposer ?
--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Sur le site frenchhoneynet.org, de manière temporaire, j'ai changé le bas de la page, avec une adresse email dynamiquement générée, contenant l'IP du client, le jour, l'heure, les minutes.
Ca c'est rigolo.
Je suis en train de chercher un moyen pour eviter que les redacteurs du site que je maintiens se fassent spammer. J'ai mis differentes adresses protegées par des methodes differentes dans une page de pour connaitre la plus efficace. "Maleurheusement" aucun SPAM sur ces adresses du type <A HREF=mailto:....></a>. Les robots arriveraient a detecter que ce sont des leurres du fait qu'il n'y a rien entre les ancres????
Niveau solutions: a priori les robots ignorent les formulaires, non ? Pour l'instant je pense passer par formulaire (POST) l'identifiant du redacteur a un script qui balance le lien mailto (header("Location: mailto:...) C'est suffisant a votre avis ? D'autres techniques plus robustes a proposer ?
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Arnaud Launay
Le 04 Dec 2003 22:39:11 GMT, Thierry écrivit:
C'est suffisant a votre avis ? D'autres techniques plus robustes a proposer ?
Filtrer les mails à l'entrée avec amavis et spamassassin. Comme ça, on ne perd pas 50 ans à chercher le mail, et le receveur n'a pas de spams (ni de virus).
Arnaud.
Le 04 Dec 2003 22:39:11 GMT, Thierry écrivit:
C'est suffisant a votre avis ?
D'autres techniques plus robustes a proposer ?
Filtrer les mails à l'entrée avec amavis et spamassassin. Comme
ça, on ne perd pas 50 ans à chercher le mail, et le receveur n'a
pas de spams (ni de virus).
C'est suffisant a votre avis ? D'autres techniques plus robustes a proposer ?
Filtrer les mails à l'entrée avec amavis et spamassassin. Comme ça, on ne perd pas 50 ans à chercher le mail, et le receveur n'a pas de spams (ni de virus).
Arnaud.
Thierry
Bonjour,
Arnaud Launay a écrit :
Filtrer les mails à l'entrée avec amavis et spamassassin. Comme ça, on ne perd pas 50 ans à chercher le mail, et le receveur n'a pas de spams (ni de virus).
On a pas la main sur le serveur de mail, et y'a trop d'utilisateurs, inexperimentés en info, et sur des OS heterogenes pour installer quoique ce soit au niveau du client.
Donc même si c'est pas une technique satisfaisante il doit y avoir moyen de diminuer de façon significative le nombre de SPAMS en agissant sur le site...
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Bonjour,
Arnaud Launay a écrit :
Filtrer les mails à l'entrée avec amavis et spamassassin. Comme
ça, on ne perd pas 50 ans à chercher le mail, et le receveur n'a
pas de spams (ni de virus).
On a pas la main sur le serveur de mail, et y'a trop d'utilisateurs,
inexperimentés en info, et sur des OS heterogenes pour installer quoique ce
soit au niveau du client.
Donc même si c'est pas une technique satisfaisante il doit y avoir moyen de
diminuer de façon significative le nombre de SPAMS en agissant sur le
site...
--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Filtrer les mails à l'entrée avec amavis et spamassassin. Comme ça, on ne perd pas 50 ans à chercher le mail, et le receveur n'a pas de spams (ni de virus).
On a pas la main sur le serveur de mail, et y'a trop d'utilisateurs, inexperimentés en info, et sur des OS heterogenes pour installer quoique ce soit au niveau du client.
Donc même si c'est pas une technique satisfaisante il doit y avoir moyen de diminuer de façon significative le nombre de SPAMS en agissant sur le site...
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
