Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de niol_ :
- [16/06@17:46] VC9 adopté pour le DVD HD
Journal : Tentatives répétées d'envoi de spam par ma machine
Posté par niol (page perso, ) le 25 février 2005Comme beaucoup d'entre nous, j'ai une machine allumé 24h/24 où j'héberge un petit site. Et logiquement, sans pour cela être obsédé par cela, je jette un coup d'oeil aux logs de temps.
Et c'est là que je trouve des requêtes http utilisant la méthode CONNECT vers le port 25 de serveurs obscure. Google m'apprends que cette méthode CONNECT est liée à mod_proxy (que je n'ai pas installé avec la version d'apache que j'utilise). J'en déduis donc tout simplement que quelqu'un essaye d'envoyer du spam en utilisant ma machine comme proxy.
Extrait des requêtes:
61.31.140.98 - - [22/Feb/2005:13:33:27 +0100] "CONNECT maila.microsoft.com:25 HTTP/1.0" 301 319 "-" "-"
61.31.129.70 - - [25/Feb/2005:12:59:54 +0100] "CONNECT news98.idv.tw:25 HTTP/1.0" 301 319 "-" "-"
61.31.147.188 - - [25/Feb/2005:14:05:20 +0100] "CONNECT news98.idv.tw:25 HTTP/1.0" 301 319 "-" "-"
Bref vous avez compris l'idée générale, et çà depuis un mois, et à peu près toutes les 70 minutes. (le statut 301 est normal, çà vient de la redirection vers le bon nom de domaine).
$ host 61.31.147.188
Name: 61-31-147-188.dynamic.tfn.net.tw
Address: 61.31.147.188
Donc un petit mail à abuse@tfn.net.tw (email obtenue à l'aide de la base whois), avec en pièce jointe toutes les lignes apache de la requête en question.
Comme je n'ai toujours pas de réponse (mais çà ne fait que deux jours), je décide de regarder un peu plus. Je reprends donc la dernière ligne de mes logs apache pour avoir la dernière adresse ip dynamique, et puis :
$ nmap -sT 61.31.147.188
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on 61-31-147-188.dynamic.tfn.net.tw (61.31.147.188):
(The 1548 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp open smtp
79/tcp open finger
110/tcp open pop-3
135/tcp filtered loc-srv
1026/tcp open nterm
5631/tcp open pcanywheredata
Nmap run completed -- 1 IP address (1 host up) scanned in 68 seconds
Bon, c'est une machine sous windows. Le pop nous donne
$ telnet 61.31.147.188 110
Trying 61.31.147.188...
Connected to 61.31.147.188.
Escape character is '^]'.
+OK ArGoSoft Mail Server, Version 1.8 (1.8.1.1)
Serveur mail proprio...
Le finger :
$ finger Administrator@61.31.147.188
[news98.idv.tw]
This is news98.idv.tw finger server.
Sorry, user Administrator not found
Tient, il se déclare étant news98.idv.tw, et effectivement :
$ host 61.31.147.188
Name: 61-31-147-188.dynamic.tfn.net.tw
Address: 61.31.147.188
Ce qui permet de retrouver cet âne à tous les coups.
Une recherche Google sur news98.idv.tw me donne quelques exemples d'email de spam envoyés par cet individu, de la pub pour un logiciel[1] pour distribuer des spams! Franchement...
$ whois news98.idv.tw
Domain Name: news98.idv.tw
Contact:
lin zo
777777@msa.hinet.net
J'envoie un petit mail de ce pas.
Quels solutions envisageriez vous pour ce genre de problème? Je laisse courir? Je DROP le sous réseau 61.31.0.0/16?
Avez vous des expériences de ce genre?
[1]http:NOLINK//t988.com.tw/Sagittarius/AnonySagittarius/index.htm
> Lire le journal (8 commentaires, moyenne: 2,5).
idem
j'en avais marre de voir sa tronche alors j'ai mis un drop.
-
[^]Re: idem
Dans ce cas je cripple
Quand une personne insiste pour envoyer des emails par chez moi, je le laisse faire, lentement. et çà part à la poubelle.
En fait il faut mettre en place un serveur de cripple, il y a plusieurs façon de faire, la plus simple reste quand même de gérer la bande passante du service directement. Mon "serveur" de mail fonctionne comme suis :
150 octets/s pedant 10 secondes puis 4 secondes de coupure et on reprend.
Ensuite il y a coupure de la première connection si une 3ème connection est initiée par un host.
Pour finir si le spammeurs passe les deux heures necessaires à faire passer un mail par chez moi, celui ci est envoyé directement à son destinataire via l'interface ethernet /dev/null bien connue des adeptes.
L'avantage de cette méthode est qu'elle occupe les becannes de spam un petit moment, avec force monté en charge, réémissions de paquets réinstauratiosn de connections etc , le tout pour une occupation de bande passante assez réduite pour moi.
Tout celà se gère assez facilement sous OpenBSD, par contre je ne sais pas comment faire sous Linux. Il faut que je me penche sur le sujet.
-
[^]Re: Dans ce cas je cripple
Posté par hommelix () le 25/02/2005 à 15:28. (lien). Évalué à 6.Oui ca marche aussi avec exim4 de marc:
http://marc.merlins.org/linux/exim/sa.html(...)
Ca s'apelle le teergrubing la bas-
[^]Re: Dans ce cas je cripple
Posté par Jerome Herman () le 25/02/2005 à 15:32. (lien). Évalué à 2.Je ne connaissais pas, mais c'est violent aussi. Personellement je pourris ma connection pour handicaper l'émetteur, ici c'est au niveau de la reception du mail que c'est pourri.
Ca donne envie de voir ce que donnerait une combo des deux.
-
[^]Re: Dans ce cas je cripple
Posté par niol (page perso, ) le 25/02/2005 à 15:41. (lien). Évalué à 4.L'idée est très bonne.
Si tu n'a pas déposé de brevet dessus, je vais peut-être la reprendre en utilisant mod_rewrite et php (le spammer veut utiliser un mod_proxy qui n'existe pas sur mon serveur web...).
-
[+] simple et efficace :
Debranche le cable reseau !
OH ! Une sortie ! ----------------> __((0))__
Ma signature ici
-
[^]Re: simple et efficace :
Cette page a été générée par Templeet en 0.0606s (dont 0.0063 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.