21
2012
Le drôle de spam continue
J'en parlais déjà le 12 février dernier dans mon article Drôle de spam sur m0le'o'blog : de drôles de commentaires, avec comme lien attaché des pages Facebook sans intérêt (autrement dit commerciales), avaient fait irruption sur le blog.
Aujourd'hui, ce n'est plus 5 (voir même finalement 15 commentaires), mais 180 ! Ouch ..
J'ai donc décidé, déjà de faire quelques recherches, savoir si nous étions les seuls à être touchés. J'ai trouvé quelques cas similaires sur Internet. Du coup, j'ai cherché à comprendre un peu le "truc", en étudiant les données.
1) Extraire les données
Cette partie était assez facile, le blog utilisant MySQL, une simple requête :
SELECT * // Je selectionne tous
FROM `wp_comments` // les commentaires
WHERE `comment_author_url` LIKE '%facebook%' // dont les "url" contiennent "*facebook*"
BIM, 95 commentaires. J'extrais ces données au format SQL (en "sauvegarde") et un autre en CSV pour appliquer facilement des filtres avec un tableur.
2) Analyser les données
Avant de commencer à étudier ces spams, j'ai préalablement supprimé 60 commentaires provenant d'une même IP (188.143.232.12)
- une IP ne poste jamais plus de 6 commentaires
- les user agent sont presque toujours les mêmes, j'ai pu en dénombrer 4 différents sur l'ensemble des spams
- Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
- Mozilla/5.0 (Windows NT 5.1; U; en) Opera 8.01
- Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10
- Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
- les noms d'utilisateurs ont l'air d'être générés aléatoirement (peu de noms identiques)
- les adresses mails doivent sans doute être générées avec deux listes distinctes de forme : <user>@<domaine>
- beaucoup de concordance avec un même <user>
- plusieurs similarités avec les <domaine>
- Une vague de spam assez rapide :
- débute le 18/04/2012 16:54:42 GMT
- S'arrête le 19/04/2012 23:38:59 GMT
- Les "bots" semblent discuter entre eux :
- 20 sont des commentaires qui ne sont pas des réponses à des commentaires déjà existants
- sur les 75 autres spam, seulement deux répondent au même commentaire. Cela me laisse penser que les bots savent à quoi ils ont déjà répondu.
- les commentaires sont tous mal écrits ( mots, syntaxe, etc), mais sont en différentes langues (sans doute en relation avec les IP)
- français
- anglais
- allemand
- les liens vers les profils Facebook sont tous différents.
3) Réagir aux spams
D'habitude, pour les autres spams que je qualifierais maintenant de "normaux", on va dire que c'est la rançon du succès :p !
Je me rends alors sur le site de l'utilisateur/bot/spammeur, lui attribue une mauvaise note et un mauvais commentaire dans WOT, et je supprime le commentaire.
Ca me permet déjà de pouvoir les listes petit à petit (cf mes différents ratings ), mais aussi de savoir si j'ai déjà attribué une note à un site. Il n'est pas rare que je tombe sur des sites qui sont maintenant "récurrents" en termes de spam sur le blog.
Pour ces types de spam, il est difficile (et surtout inutile) d'attribuer une mauvaise note au site "Facebook.com", c'est ridicule.
Du coup, il faudrait que je prenne le temps d'attribuer une mauvaise note/commentaire aux IPs. C'est là que ce pose un problème pour moi :
Si l'IP correspond à un PC zombie, et qu'il n'est lui-même pas au courant du spam qu'il effectue, dois-je lui en tenir rigueur ?
Je me pose encore la question, je garde donc la liste des IP bien au chaud, dans un document (sql, csv etc ...).
Là, comme je n'avais pas vraiment la possibilité d'attribuer de mauvaises notes, j'ai (enfin) opté pour l'installation du projet HoneyPot sur le blog.
Il s'agit simplement d'un script PHP, qui piège les spammeurs. Sebsauvage l'a très bien décrit dans un de ces posts.
J'attends un petit mois pour voir si l'implémentation sur le site est suffisant, et rapporte ces fruits, j'y reviendrais sûrement dans un prochain post.
En attendant, si vous avez des infos intéressantes, je suis preneur, ou si vous souhaitez obtenir la liste de ces spams, je me ferai un plaisir de vous les fournir.
Related Posts
Contact
Les auteurs
Commentaires récents
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- Nono's vrac 10 dans
- Nono's vrac 18 dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- Créez vos propres Geojson avec OpenStreetMap dans
- Backup avec Borg via ssh(fs) sur Synology dans
- Va te faire foutre Disqus ! dans
- Saloperie de TrendMicro OfficeScan ! dans
Étiquettes
Archives
- octobre 2020 (1)
- juin 2018 (1)
- avril 2018 (1)
- mars 2018 (1)
- décembre 2015 (1)
- avril 2015 (3)
- mars 2015 (2)
- février 2015 (3)
- janvier 2015 (1)
- décembre 2014 (5)
- novembre 2014 (4)
- octobre 2014 (4)
- septembre 2014 (5)
- août 2014 (4)
- juin 2014 (7)
- mai 2014 (14)
- avril 2014 (8)
- mars 2014 (10)
- février 2014 (9)
- janvier 2014 (3)
- décembre 2013 (2)
- novembre 2013 (5)
- octobre 2013 (6)
- septembre 2013 (8)
- août 2013 (6)
- juillet 2013 (6)
- juin 2013 (11)
- mai 2013 (7)
- avril 2013 (8)
- mars 2013 (10)
- février 2013 (9)
- janvier 2013 (9)
- décembre 2012 (7)
- novembre 2012 (16)
- octobre 2012 (11)
- septembre 2012 (9)
- août 2012 (19)
- juillet 2012 (19)
- juin 2012 (20)
- mai 2012 (24)
- avril 2012 (20)
- mars 2012 (23)
- février 2012 (27)
- janvier 2012 (28)
- décembre 2011 (28)
- novembre 2011 (28)
- octobre 2011 (1)
J'avais vu, je sais plus ou, un petit script qui affichait un message du type "Votre PC a été détecté comme émettant du spam" au client se connectant avec une IP déjà vue parmi les spammeurs par le serveur... Faudrait que je retrouve ça.
Bonjour, le script évoqué dans le commentaire est évoqué sur la page wiki de Sebsauvage lié au projet Honeypot ici : http://sebsauvage.net/wiki/doku.php?id=project_honeypot
Ah oui, je me disais aussi ! 🙂
Sans doute la prochaine étape ..
Sinon pour les plus récurrents j'utilise WP-Ban (https://wordpress.org/extend/plugins/wp-ban/) ou alors je me venge et je vais les spammer à mon tour 🙂 http://www.techbrunch.fr/blog/spammer-les-spammeurs/
Autant le plugin peut m’intéresser, selon le fonctionnement, mais perdre du temps sur de la vengeance, non merci .. Je préfère, tant que possible, faire du concret, et lister tout ces saloperies aux organismes qui peuvent (plus ou moins) faire quelques chose .. Comme le projet HoneyPot par exemple.