Bonjour,
Suite à http://www.dotclear.net/forum/viewtopic.php?pid=113137#p1131(...) , je me rend compte que les robots spammeurs dans les blogs dotclear utilisent toute un vaste réseau de proxys disséminés au Nigéria, Arabie Saoudite, Chine, Inde, Brésil, ...
Mon premier réflexe a donc été de mettre les ranges de ces réseaux (selon whois sur l'adresse du proxy) dans un deny de mon htaccess.
Cependant, je me rend compte que les spams de commentaires, de mails, de bugs (dans trac), de forum viennent pour la plupart de ce genre de proxy.
Or, plutôt que de modifier la config apache, je me dis qu'on pourrait les bloquer directement au niveau de la couche IP, ainsi mail, web et tout le reste serait automatiquement protégés.
Évidemment, il faudrait que la liste des bloquages soit gérée dynamiquement.
Existe-t-il une telle liste qu'on pourrait bloquer complètement par défaut ? Existe-t-il un logiciel qui gère tout cela ?
(à ceux qui diront que l'usage de ces proxys est parfois légitime, je rétorquerais que c'est :
1) très très rare
2) les proxys ouverts sont une plaie qui permettent ce genre le spam. Si de plus en plus de monde commence à les bloquer, on peut petit à petit les isoler et se protéger d'une masse énorme d'ennuis
3) L'ajout d'un range IP dans une telle liste devrait s'accompagner automatiquement d'un envoi d'email à l'administrateur, le propriétaire et l'adresse abuse)
Qu'en pensez-vous ?
Journal Liste de proxy à bloquer au niveau IP
20
août
2006
# Tcpd
Posté par Thibault . Évalué à 1.
Tu dois pouvoir faire ca avec TCPD non ? en utilisant /etc/hosts.allow et /etc/hosts.deny.
# Quand on est en Chine...
Posté par Maclag . Évalué à 4.
[^] # Re: Quand on est en Chine...
Posté par Éric (site web personnel) . Évalué à 4.
Ni le https, ni le cryptage, ni les proxys n'aideront les gens dans les pays totalitaires de ce type.
Tu te retrouves avec plein de flux cryptés que tu ne peux expliquer ? ça doit suffire à te mettre en prison. Tu te retrouves à faire tes accès via un proxy au nigéria ? ça doit suffire aussi, surtout que ce qui est envoyé au proxy transite certainement en clair.
[^] # Re: Quand on est en Chine...
Posté par inico (site web personnel) . Évalué à 5.
# et iptables ?
Posté par briaeros007 . Évalué à 1.
iptables?
Il permet de bloquer, voir meme de dropper les paquets .
Et un petit programme avec inotify qui observe sur le fichier des ranges devrait permettre sans trop de soucis de modifier le fonctionnement d'iptables on the fly
# Risque
Posté par Éric (site web personnel) . Évalué à 5.
Tu fais un filtre sur un masque d'ip ? tu ne bloques pas que les proxys comme tu le sous entends. Tu bloques aussi des utilisateurs sur le même range IP, qui n'utilisent pas les dit proxy.
Petit exemple : les filtres anti spam SMTP qui fonctionnent justement par IP et qui se retrouvent fréquement à bannir tel ou tel FAI ou hébergeur (donc tous les utilisateurs au milieu) à cause d'un utilisateur indélicat dans le lot. C'est fréquent, et très agacant.
Les utilisateurs de la plage IP en question du Nigéria sont peut être rares à utiliser tes serveurs français, mais potentiellement ça intéressera peut être des gens demain.
Pour reprendre le même exemple, c'est facile de dire aux US que bloquer un FAI français non majoritaire n'est pas "grave". Mais le fait est que ça nous emmerde quand même quand ça arrive. Ca doit être pareil pour les coréens ou les nigériens.
Quant à prévenirl'administrateur, c'est ce qui est fait pour les relais SMTP et force est de constater que ça perturbe tout de même pendant plusieurs jours, quand le mail est arrivé à bon port puis traité, ce qui n'est pas toujours le cas.
Attention, je ne dis pas de ne pas filtrer, des fois ils vaut mieux se faire une raison et bloquer quelques utilisateurs pour ne pas se retrouvé inondé.
Ceci dit je pense qu'il vaut mieux une utilisation des filtres plus spécialisés : une liste pour les SMTP, une liste pour les proxys ou sources HTTP, etc. et ne pas bloquer sur l'ip mais sur le protocole. Ca permet d'ajouter un message, ce qui n'est pas réaliste avec un filtre au niveau IP. En HTTP on peut rediriger vers une page d'erreur qui explique le filtre, pourquoi il est là, et donne une adresse email de contact si ça pose problème à des utilisateurs réels. En SMTP l'équivalent est faisable.
Ca me parait plus "sage" et moins gênant pour les utilisateurs légitimes.
[^] # Re: Risque
Posté par ploum (site web personnel, Mastodon) . Évalué à 3.
Il doit donc y avoir moyen de bloquer celui-là et rien que celui-là non ?
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Risque
Posté par Gniarf . Évalué à 3.
je passe sous silence que ces recherches peuvent d'ailleurs passer par des proxys aussi, si le cache de Google et strip=1 ne lui suffit pas.
je passe enfin sous silence que tu as déjà des tas de machines vérolées en France qui vont servir de proxy préférentiels pour les blogs français dès que popaul s'apercevra que des blogueurs croient pouvoir échapper à sa machine de guerre en fermant les frontières. bizarrement tous tes spammeurs auront des ips de Wanadoo et Tele2...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.