Comme beaucoup d'entre nous, j'ai une machine allumé 24h/24 où j'héberge un petit site. Et logiquement, sans pour cela être obsédé par cela, je jette un coup d'oeil aux logs de temps.
Et c'est là que je trouve des requêtes http utilisant la méthode CONNECT vers le port 25 de serveurs obscure. Google m'apprends que cette méthode CONNECT est liée à mod_proxy (que je n'ai pas installé avec la version d'apache que j'utilise). J'en déduis donc tout simplement que quelqu'un essaye d'envoyer du spam en utilisant ma machine comme proxy.
Extrait des requêtes:
61.31.140.98 - - [22/Feb/2005:13:33:27 +0100] "CONNECT maila.microsoft.com:25 HTTP/1.0" 301 319 "-" "-"
61.31.129.70 - - [25/Feb/2005:12:59:54 +0100] "CONNECT news98.idv.tw:25 HTTP/1.0" 301 319 "-" "-"
61.31.147.188 - - [25/Feb/2005:14:05:20 +0100] "CONNECT news98.idv.tw:25 HTTP/1.0" 301 319 "-" "-"
Bref vous avez compris l'idée générale, et çà depuis un mois, et à peu près toutes les 70 minutes. (le statut 301 est normal, çà vient de la redirection vers le bon nom de domaine).
$ host 61.31.147.188
Name: 61-31-147-188.dynamic.tfn.net.tw
Address: 61.31.147.188
Donc un petit mail à abuse@tfn.net.tw (email obtenue à l'aide de la base whois), avec en pièce jointe toutes les lignes apache de la requête en question.
Comme je n'ai toujours pas de réponse (mais çà ne fait que deux jours), je décide de regarder un peu plus. Je reprends donc la dernière ligne de mes logs apache pour avoir la dernière adresse ip dynamique, et puis :
$ nmap -sT 61.31.147.188
Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on 61-31-147-188.dynamic.tfn.net.tw (61.31.147.188):
(The 1548 ports scanned but not shown below are in state: closed)
Port State Service
25/tcp open smtp
79/tcp open finger
110/tcp open pop-3
135/tcp filtered loc-srv
1026/tcp open nterm
5631/tcp open pcanywheredata
Nmap run completed -- 1 IP address (1 host up) scanned in 68 seconds
Bon, c'est une machine sous windows. Le pop nous donne
$ telnet 61.31.147.188 110
Trying 61.31.147.188...
Connected to 61.31.147.188.
Escape character is '^]'.
+OK ArGoSoft Mail Server, Version 1.8 (1.8.1.1)
Serveur mail proprio...
Le finger :
$ finger Administrator@61.31.147.188
[news98.idv.tw]
This is news98.idv.tw finger server.
Sorry, user Administrator not found
Tient, il se déclare étant news98.idv.tw, et effectivement :
$ host 61.31.147.188
Name: 61-31-147-188.dynamic.tfn.net.tw
Address: 61.31.147.188
Ce qui permet de retrouver cet âne à tous les coups.
Une recherche Google sur news98.idv.tw me donne quelques exemples d'email de spam envoyés par cet individu, de la pub pour un logiciel[1] pour distribuer des spams! Franchement...
$ whois news98.idv.tw
Domain Name: news98.idv.tw
Contact:
lin zo
777777@msa.hinet.net
J'envoie un petit mail de ce pas.
Quels solutions envisageriez vous pour ce genre de problème? Je laisse courir? Je DROP le sous réseau 61.31.0.0/16?
Avez vous des expériences de ce genre?
[1]http:NOLINK//t988.com.tw/Sagittarius/AnonySagittarius/index.htm
# idem
Posté par Marc (site web personnel) . Évalué à 4.
[^] # Re: idem
Posté par gph . Évalué à 2.
Sinon envoie un mail à ton FAI (nerim si je ne me trompe pas), peut-être que eux feront quelque chose aussi :-)
# Dans ce cas je cripple
Posté par Jerome Herman . Évalué à 10.
En fait il faut mettre en place un serveur de cripple, il y a plusieurs façon de faire, la plus simple reste quand même de gérer la bande passante du service directement. Mon "serveur" de mail fonctionne comme suis :
150 octets/s pedant 10 secondes puis 4 secondes de coupure et on reprend.
Ensuite il y a coupure de la première connection si une 3ème connection est initiée par un host.
Pour finir si le spammeurs passe les deux heures necessaires à faire passer un mail par chez moi, celui ci est envoyé directement à son destinataire via l'interface ethernet /dev/null bien connue des adeptes.
L'avantage de cette méthode est qu'elle occupe les becannes de spam un petit moment, avec force monté en charge, réémissions de paquets réinstauratiosn de connections etc , le tout pour une occupation de bande passante assez réduite pour moi.
Tout celà se gère assez facilement sous OpenBSD, par contre je ne sais pas comment faire sous Linux. Il faut que je me penche sur le sujet.
[^] # Re: Dans ce cas je cripple
Posté par hommelix . Évalué à 6.
http://marc.merlins.org/linux/exim/sa.html(...)
Ca s'apelle le teergrubing la bas
[^] # Re: Dans ce cas je cripple
Posté par Jerome Herman . Évalué à 2.
Ca donne envie de voir ce que donnerait une combo des deux.
[^] # Re: Dans ce cas je cripple
Posté par niol (site web personnel) . Évalué à 4.
Si tu n'a pas déposé de brevet dessus, je vais peut-être la reprendre en utilisant mod_rewrite et php (le spammer veut utiliser un mod_proxy qui n'existe pas sur mon serveur web...).
# simple et efficace :
Posté par vincent LECOQ (site web personnel) . Évalué à -10.
OH ! Une sortie ! ----------------> __((0))__
[^] # Re: simple et efficace :
Posté par Obsidian . Évalué à 2.
Trop tard, tu viens de débrancher le câble, tu es prisonnier de la Matrice pour un bon moment maintenant ... :-)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.