Le drôle de spam continue

J'en parlais déjà le 12 février dernier dans mon article Drôle de spam sur m0le'o'blog : de drôles de commentaires, avec comme lien attaché des pages Facebook sans intérêt (autrement dit commerciales), avaient fait irruption sur le blog.

Aujourd'hui, ce n'est plus 5 (voir même finalement 15 commentaires), mais 180 ! Ouch ..

J'ai donc décidé, déjà de faire quelques recherches, savoir si nous étions les seuls à être touchés. J'ai trouvé quelques cas similaires sur Internet. Du coup, j'ai cherché à comprendre un peu le "truc", en étudiant les données.

1) Extraire les données

Cette partie était assez facile, le blog utilisant MySQL,  une simple requête : ``

SELECT * <em>// Je selectionne tous</em><br /> FROM `wp_comments` <em>// les commentaires</em><br /> WHERE `comment_author_url` LIKE '%facebook%' <em>// dont les "url" contiennent "*facebook*"</em><br />

BIM, 95 commentaires. J'extrais ces données au format SQL (en "sauvegarde") et un autre en CSV pour appliquer facilement des filtres avec un tableur.

2) Analyser les données

Avant de commencer à étudier ces spams, j'ai préalablement supprimé 60 commentaires provenant d'une même IP (188.143.232.12)

  • une IP ne poste jamais plus de 6 commentaires

  • les user agent sont presque toujours les mêmes, j'ai pu en dénombrer 4 différents sur l'ensemble des spams

  • Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

  • Mozilla/5.0 (Windows NT 5.1; U; en) Opera 8.01

  • Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

  • Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5

  • les noms d'utilisateurs ont l'air d'être générés aléatoirement (peu de noms identiques)

  • les adresses mails doivent sans doute être générées avec deux listes distinctes de forme : @

  • beaucoup de concordance avec un même

  • plusieurs similarités avec les

  • Une vague de spam assez rapide :

  • débute le 18/04/2012 16:54:42 GMT

  • S'arrête le 19/04/2012 23:38:59 GMT

  • Les "bots" semblent discuter entre eux :

  • 20 sont des commentaires qui ne sont pas des réponses à des commentaires déjà existants

  • sur les 75 autres spam, seulement deux répondent au même commentaire. Cela  me laisse penser que les bots savent à quoi ils ont déjà répondu.

  • les commentaires sont tous mal écrits ( mots, syntaxe, etc), mais sont en différentes langues (sans doute en relation avec les IP)

  • français

  • anglais

  • allemand

  • les liens vers les profils Facebook sont tous différents.

3) Réagir aux spams

D'habitude, pour les autres spams que je qualifierais maintenant de "normaux", on va dire que c'est la rançon du succès :p !

Je me rends alors sur le site de l'utilisateur/bot/spammeur, lui attribue une mauvaise note et un mauvais commentaire dans WOT, et je supprime le commentaire.

Ca me permet déjà de pouvoir les listes petit à petit (cf mes différents ratings ), mais aussi de savoir si j'ai déjà attribué une note à un site. Il n'est pas rare  que je tombe sur des sites qui sont maintenant "récurrents" en termes de spam sur le blog.

Pour ces types de spam, il est difficile (et surtout inutile) d'attribuer une mauvaise note au site "Facebook.com", c'est ridicule.

Du coup, il faudrait que je prenne le temps d'attribuer une mauvaise note/commentaire aux IPs. C'est là que ce pose un problème pour moi :

Si l'IP correspond à un PC zombie, et qu'il n'est lui-même pas au courant du spam qu'il effectue, dois-je lui en tenir rigueur ?

Je me pose encore la question, je garde donc la liste des IP bien au chaud, dans un document (sql, csv etc ...).

Là, comme je n'avais pas vraiment la possibilité d'attribuer de mauvaises notes, j'ai (enfin) opté pour l'installation du projet HoneyPot sur le blog.

Il s'agit simplement d'un script PHP, qui piège les spammeurs. Sebsauvage l'a très bien décrit dans un de ces posts.

J'attends un petit mois pour voir si l'implémentation sur le site est suffisant, et rapporte ces fruits, j'y reviendrais sûrement dans un prochain post.

En attendant, si vous avez des infos intéressantes, je suis preneur, ou si vous souhaitez obtenir la liste de ces spams, je me ferai un plaisir de vous les fournir.

Comments

Comment by H3 on 2012-04-22 00:42:02 +0200

J'avais vu, je sais plus ou, un petit script qui affichait un message du type "Votre PC a été détecté comme émettant du spam" au client se connectant avec une IP déjà vue parmi les spammeurs par le serveur... Faudrait que je retrouve ça.

Comment by Gof on 2012-04-22 09:27:08 +0200

Bonjour, le script évoqué dans le commentaire est évoqué sur la page wiki de Sebsauvage lié au projet Honeypot ici : http://sebsauvage.net/wiki/doku.php?id=project_honeypot

Comment by TechBrunch on 2012-04-22 11:51:52 +0200

Sinon pour les plus récurrents j'utilise WP-Ban (https://wordpress.org/extend/plugins/wp-ban/) ou alors je me venge et je vais les spammer à mon tour 🙂 http://www.techbrunch.fr/blog/spammer-les-spammeurs/

Comment by H3 on 2012-04-22 13:18:03 +0200

Ah oui, je me disais aussi ! 🙂

Comment by Nono on 2012-04-22 13:22:56 +0200

Sans doute la prochaine étape ..

Comment by Nono on 2012-04-22 13:24:27 +0200

Autant le plugin peut m’intéresser, selon le fonctionnement, mais perdre du temps sur de la vengeance, non merci .. Je préfère, tant que possible, faire du concret, et lister tout ces saloperies aux organismes qui peuvent (plus ou moins) faire quelques chose .. Comme le projet HoneyPot par exemple.