Hello,

Je ne sais pas si je suis au bon endroit pour ça mais je me lance.

Voilà, j'ai un gros site qui tourne depuis plusieurs années maintenant (actuellement sous 0.750) sur un dédié Fedora Core 4

Depuis plusieurs semaine je reçois une quantité toujours croissante d'alertes à cause de tentatives de Spaming. J'ai du passer les commentaires du module review en membres only parce-qu'il se remplissait de promo pour du Viagra et autres Casino... Une horreur

Actuellement je ne reçois que des alertes, les messages ne passant pas vu que les robots ne sont pas membres. Celà dit ça reste vraiment très ennuyeux et ça devient de pire en pire.

Les modules touchés sont: Le formulaire de contact (dp_Contact), les commentaires des review et enfin les formulaires (FormExpress)

Avez-vous une idée de comment lutter là contre ? J'ai bien inclus les IP dans un fichier .htaccess mais il y en a tellement que je desespère sans compter que les IP change à chaque tentative.

Ci-Dessous un petit exemple de ce que je reçois sans arrêt, j'ai coupé volontairement le message pour ne pas vous ennuyer avec ça mais la liste de promo est 5x plus longue!:

=====================================
Information about this user:
=====================================
This person is not logged in.
IP numbers: [note: when you are dealing with a
real cracker these IP numbers might not be from
the actual computer he is working on]
IP according to HTTP_CLIENT_IP:
IP according to REMOTE_ADDR: 12.223.28.68
IP according to
GetHostByName($_SERVER['REMOTE_ADDR']):
12.223.28.68


=====================================
Information in the $_REQUEST array
=====================================
REQUEST * op : modload
REQUEST * name : Reviews
REQUEST * file : index
REQUEST * req : savecomment
REQUEST * id : 487
REQUEST * comments :

.....


=====================================
Browser information
=====================================
HTTP_USER_AGENT:
BROWSER * 0 :

=====================================
Information in the $_SERVER array
=====================================
SERVER * PERL5LIB :
/usr/share/awstats/lib:/usr/share/awstats/plugins
SERVER * HTTP_VIA : 1.1 CNTR118188S
SERVER * CONTENT_LENGTH : 3869
SERVER * CONTENT_TYPE :
application/x-www-form-urlencoded

...

L'idée pourrait-être de mettre un cryptogramme là ou l'on peut poster en n'etant pas inscrit... mais je n'en ai jamais mis en place... Ca empêchera de poster si on n'est pas un humanoïde

---

Gilles  ><>°

apparement ca commence a devenir vraiment grave car certain bots d'indexation arrive à reconnaire les caractéres visuels via un OCR.

Je ne sais pas si ca se fait ni si c'est vérifiable mais il est peut-être possible de changer l'adresse IP de ton serveur, de faire pointer les DNS sur cette nouvelle adresse... (A condition que les bots travaillent avec juste les adresses IP). Ca doit mettre le site indisponible un moment, je pense mais s'il est possible de démontrer que les bots fonctionnent juste avec l'adresse IP, c'est bon... Pensez-vous que ca soit possible?

---

Gilles  ><>°

• Ce n'est pas un robot - Les robots indexeurs n'ont pas pour vocation de commenter les articles et encore moins avec des liens de viagra. Au pire, c'est un robot créé par un humain méchant pas beau... A noter aussi que les vrai robots ont des adresses fixes (même s'ils en ont beaucoup)
• Laisser un site ouvert aux commentaires et autres sans enregistrement d'une adresse vérifiable est sujet à ce genre de problêmes...
• Pas de solution miracle, les modules concernés sont mal écrits ou du moins très peu sécuritaires et l'installation n'est pas à jour. Un cryptogramme pourrait aider mais comme l'a dit Murmuri, même les cryptogramme sont imparfaits et ils réduisent l'accessibilité au site. De plus, le cryptogramme n'empêchera pas les alertes car celles-ci se produisent lorsque la personne (ou le robot) valide son message. Du coup, même si le picto est faux, le contenu aura quand même été tiré de la session et le système verra la merde qu'il y a dedans...... et t'enverra son alerte.

Le htaccess peu aussi servir pour bannir une certaine plage d'IPs si tu as par exemple plusieurs 12.223... Tu peux bannir toutes les adresses commençant par 12.223...
L'IP en question est américaine alors à moins que ton public soit américain...... c'est pas une grosse perte.


12.223.28.68 US UNITED STATES IOWA DES MOINES M E D I A C O M C O M M U N I C A T I O N S C O R P

J'ai mis des espaces superflus pour éviter l'indexation de ces minables.
C'est possiblement un robot effectivement mais créé pour trouver des sites comme le tiens qui laissent tout ouvert.... Un reportage est passé dans une émission....... ou une revue dernièrement à propos de ces spammeurs... légaux.


Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

Mon problème est que concernant les commentaires des reviews, il faut maintenant être enregistré pour pouvoir en poster, hors je continue à recevoir des alertes ?!? bon, elles s'incrivent plus c'est déjà pas si mal. Je serais bien incapable d'ajoueter une fonction de cryptogramme dans chaque module interactif

Changer d'IP, peut-être que ça serait une solution mais pour combien de temps ?

"des sites comme le tiens qui laissent tout ouvert", ben disons que j'ai rien laissé d'ouvert à part ce qui me semble essentiel, un formulaire de contcat, je pourrais bien le bloquer pour que seuls les inscrits puissent l'utiliser ainsi que le formulaire pour devenir membre de notre association mais c'est vraiment dommage de devoir en arriver à les rendre inaccessibles pour des non inscrits à cause de ces tentatives moisies....

Et puis le pire, j'ai bien essayé d'aller voir ces sites et ça ne mêne nulle part, je peux même pas commander du Viagra rhoooo. Au final, à quoi ça sert ces SPAM ?

@Chestnut: J'ai bien bannis des plages d'ip mais ça change tellement souvent et part dans tous les sens que je vais arrêter de me casser la tête, ça ne sert a rien du tout.

Vivemnt la 0.8 de postnuke, j'espère qu'elle sera mieux securisée et que les développeurs nous sortiront des modules en conséquence de ces attaques dont tout le monde se passe...

spider66 a écrit :

... hors je continue à recevoir des alertes ?!?

C'est normal, le système t'envoit un avertissement qu'une tentative a été faite. Puisqu'elle ne fonctionne pas, libre à toi de jeter l'avertissement ou de prendre des mesures (bannissement de l'IP, etc...).

spider66 a écrit :

... mais c'est vraiment dommage de devoir en arriver à les rendre inaccessibles pour des non inscrits à cause de ces tentatives moisies....

Bienvenue dans la réalité... ... malheureusement.

spider666 a écrit :

@Chestnut: J'ai bien bannis des plages d'ip mais ça change tellement souvent et part dans tous les sens que je vais arrêter de me casser la tête, ça ne sert a rien du tout.

Je dirais qu'au contraire, plus tu bannis, plus ça réduit le champs d'action mais bon... comme tu n'en est plus qu'à recevoir des avertissements, y'a pas de mal si ce n'est ta boîte de réception qui bouffe.

spider666 a écrit :

Vivemnt la 0.8 de postnuke, j'espère qu'elle sera mieux securisée et que les développeurs nous sortiront des modules en conséquence de ces attaques dont tout le monde se passe...

Mmm... désolé, tu te trompes de cible. PostNuke 0.8 et plus ne pourra pas nécéssairement faire beaucoup plus. Il t'avertis déjà qu'une tentative est faite et ne l'enregistre pas (réservé aux membres)...

Les filtres sont déjà assez pointilleux qu'ils stoppent parfois l'enregistrement de contenu légitime.

A noter que c'est déjà exceptionnel dans ton cas puisque ton site n'est pas à jour et qu'il existe des insécurités reconnues sur ta version. Et qui sait de dp_Contact, de FormExpress et des autres modules tiers que tu pourrais avoir sur ton site.

La sécurité... c'est AUSSI... l'affaire du webmaster... (sans vouloir t'offenser évidemment).

-------------------

Pour stopper les alertes, désactive le pnAntiCracker (Préférences)....... attention... plus d'alerte donc la surveillance doit être accrue.


Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

salut

pour commencer semble que les domaines que tu donne appartiennes Tous a une seule compagny !
semble qu'un polonais est le proprio !?! (c bidon ou pas.. ca reste a controler !)
http://whois.domaintools.com/e s s e n c e link.com
http://whois.domaintools.com/r e n a i s s a n c e it.com
http://whois.domaintools.com/e w g f.com
SUPPRIME Les espaces dans les liens pour voir les pages !

y a un email, un Tel et un Fax ...
l'email a un domaine

un Russe !!! ....

ensuite Postnuke et d'autres systems ont des soucis avec les spammeurs mais postnuke reste l'un des meilleurs Cms a ce jour cote securite (si tu es a jour) sans etre forcement parfait ! Surtout si tu utilise des modules "externes" ...shoutbox livred'or pagecontact forum Etc.
evidement comme le dit Chesnut il ne faut pas permettre a des "visiteurs" de mettre leurs Txt en ligne DIrectement (sans TON control) ! et cela resou pas mal de soucis
les forums et les blogs ont connu ce type d'emmerde avant les portails mais semble que les spammeurs, les scriptKiddies et autres parasites cherchent de nouvelles Proies !

je ne sais pas si c TRES efficace mais tu peux chercher a interdire des Pays par Htaccess pour LIMITER tes soucis

ET/ ou

Et avec par exemple un renvoie sur un lien


+ ne laisse aucun MAil visible publiquement (y compris sous forme d'images!!)....ni le tien ni celui de tes visiteurs ou membres

Citation :

... mais c'est vraiment dommage de devoir en arriver à les rendre inaccessibles pour des non inscrits à cause de ces tentatives moisies....

on en est tous là quelque soit le CMs

good Luke (j'ai connu et connais encore par moment ce type d'ennui ! ca use mais c inevitable ou presque...la connerie n'a pas de Limite ! chez moi modules a subir la connerie weblinks dp-contact (mail pourri) lesreferents dans Admin et m^m le moteur de recherche interne)

PS: a titre perso mais c un choix ....je n'enleverai pas pnAntiCracker

modifié par : CaptainZiq, 04 Jn 2006 - 02:52

"bonjour chez Vous"

Merci pour vos réponses, je me sent un peu moins seul maintenant et du coup je devrait me setire déjà content que je ne subisse ces embêtements que depuis quelques semaines alors que le site tourne depuis des années.

Chestnut tu disais: "La sécurité... c'est AUSSI... l'affaire du webmaster... icon_wink (sans vouloir t'offenser évidemment)." A qui le dit-tu, c'est pour ça que j'ai ouvert ce thread pour me renseigner et voir si je peux faire quelque-chose de plus .

Concernant la 0.8, je pense qu'on peut améliorer les choses par exemple en filtrant dès le départ par mot clé, de cette façon ou pourrais facilement éviter de se ramasser des v i a g r a, c y a l i s etc... Ca se fait déjà sur des blogs.
Ensuite, une autre solution serait d'avoir un système intégré au CMS du genre PeerGuardian qui check les IP de spammeurs, les compare avec des db connues de sapmmeurs et qui les rejettes instantanément au cas ou ces IP seraient listées. Ca marche assez bien et comme je l'ai dit avant, tous ces messages pourris ont des IP blacklistées comme par exemple, un des derniers que j'ai reçu et qui vient de buenos aeres et qui contient les mots v i a g r a 200.41.236.20: http://www.domaintools.com/rbl/?ip=200.41.236.20. Enfin, moi je suis pas programmeur mais voilà deux idées qui pourraient être envisagées. Qu'en pense-tu Chestnut toi qui est directement au coeur du projet PN 0.8 ?

Je suis hors sujet mais j'ai aussi un site qui tourne sous phpnuke et je commence a avoir des inscriptions bidon... heureusement, autant pour l'un que pour l'autre, j'ai un système de validation par l'admin et donc ces inscription je les vire directement. Merci Chestnut, je sais pas si tu te souviens mais on a eu pas mal d'échanges à ce sujet pour faire tourner ton hack sur la 0.750, maintenant je vois que j'ai eu raison d'insister sur l'installation d'un tel système, système qui justement me bride pour passer à la 0.762 étant donné que sauf erreur de ma part, il n'y a pas de hack pour valider les demandes d'inscription par l'admin. Re belotte: Vivement la 0.8 ! ou ce système sera inclus

Merci CaptainZig pour tes idées, mais là aussi, difficile, j'ai des visiteurs russes officiels sur mon site, en fait de vraiment partout dans le monde du Japon aussi et ces SPAM arrivent eux aussi de tous les pays... arghhhhh c'est mission impossible.

Petite question, est-ce que ça pourrais être utile que je publie toutes ces IP quelque-part ? Ouvrir un thread ou je pourrais les mettre dedans ? Enfin, c'est une suggestion, si ça peut aider d'autres personnes... Chestnut ?

spider66 a écrit :

Concernant la 0.8, je pense qu'on peut améliorer les choses par exemple en filtrant dès le départ par mot clé, de cette façon ou pourrais facilement éviter de se ramasser des v i a g r a, c y a l i s etc... Ca se fait déjà sur des blogs.
Ensuite, une autre solution serait d'avoir un système intégré au CMS du genre PeerGuardian qui check les IP de spammeurs, les compare avec des db connues de sapmmeurs et qui les rejettes instantanément au cas ou ces IP seraient listées. Ca marche assez bien et comme je l'ai dit avant, tous ces messages pourris ont des IP blacklistées comme par exemple, un des derniers que j'ai reçu et qui vient de buenos aeres et qui contient les mots v i a g r a 200.41.236.20: http://www.domaintools.com/rbl/?ip=200.41.236.20. Enfin, moi je suis pas programmeur mais voilà deux idées qui pourraient être envisagées. Qu'en pense-tu Chestnut toi qui est directement au coeur du projet PN 0.8 ?

C'est pas aussi simple que çà les programmes gére les proxys, c'est sur tu vas les embéter un peu mais c'est pas une solution fiable a 100%.n Sans compter que tu banniras tous les gens qui utilisent le proxy. Pour le filtrage ca doit pouvoir se faire en modifiant le module censor.

modifié par : mumuri, 04 Jn 2006 - 16:26

spider66 a écrit :

Ensuite, une autre solution serait d'avoir un système intégré au CMS du genre PeerGuardian qui check les IP de spammeurs, les compare avec des db connues de sapmmeurs et qui les rejettes instantanément au cas ou ces IP seraient listées.

Solution peu viable malheureusement surtout en terme de performance. Tu peux constater le temps de chargement sur notre GoogleMap ou sur le GoogleMap de pnConcept en utilisant une base externe d'adresse IP...

Il n'y a rien de fiable......... du moins, rien à 100%.

Même chose pour les mots-clés....... la base de mots deviendrait tellement énorme car bien que v i a g r a ne soit pas un problême... ça le devient quand les spammeurs trouvent toutes les alternatives inimaginables.
v 1 a g r @
\/ i @ g r a
etc.......




Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

je me permet d'intervernir, les spammeurs tiennent au mot "v i a g r a", pourquoi parce qu'ils veulent etre référencé sur ce mot

C'est vrai qu'en terme de performances, c'est pas le pied que de faire des allers retours pour chaque requêtes sur une db externe...

Faudrait pouvoir flamber les serveurs qui pourissent les sites de SPAM.

Si je comprend bien, le résultat de tout ça c'est qu'on peut pas vraiment lutter contre. Triste réalité

Encore une question, j'ai vu que pour d'autres CMS il existes des modules vraiment efficaces et très complets de lutte contre les différentes attaques ou tentatives d'intrusion (PHP Nuke: NukeSentinel ou Protector. Pour Xoops aussi un module qui s'appelle Protector que j'utilise d'ailleur sur un site), il n'existe rien pour postnuke ? J'ai essayé de chercher mais sans succès...

mumuri a écrit :

je me permet d'intervernir, les spammeurs tiennent au mot "v i a g r a", pourquoi parce qu'ils veulent etre référencé sur ce mot

De moins en moins... les moteurs adoptant tranquillement leurs propres politiques contre la chose... c'est pourquoi l'utilisation d'alternatives ou de moyens détournés est de plus en plus courant. Et la nouvelle technique à la mode sont les liens longs comme le bras contenant la bonne combinaison de mots-clés... sans nécéssairement avoir le gros mot.



----
Bref....................................... c'est chiant...


Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

spider66 a écrit :

Si je comprend bien, le résultat de tout ça c'est qu'on peut pas vraiment lutter contre. Triste réalité

Oh tu peux...... si tu en fais ton boulot.

spider66 a écrit :

Encore une question, j'ai vu que pour d'autres CMS il existes des modules vraiment efficaces et très complets de lutte contre les différentes attaques ou tentatives d'intrusion (PHP Nuke: NukeSentinel ou Protector. Pour Xoops aussi un module qui s'appelle Protector que j'utilise d'ailleur sur un site), il n'existe rien pour postnuke ? J'ai essayé de chercher mais sans succès...

Attention toutefois, certains modules du genre sont de véritables arnaques. (Aucun nommé - pas testé).
Pour les autres... ils seraient probablement à étudier.




Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

@Chestnut: Qu'entend-tu par "arnaque" ?. Si tu as entendu quelque-chose, pourrais-tu nous en faire part de manière plus précise stp

Comment se passe l'envoi de formulaires par les SPAMMEURS si on ne peut pas y accéder puisque pas enregistré ? Je veux dire que je reçois des alertes mais comment est-ce possible, les formulaires ne sont pas visibles pourtant !?