Spam de commentaires et attaque quasi-DDOS

Si vous avez tenté d'accéder à ce blog au cours des dernières minutes, vous avez probablement éprouvé quelques difficultés...

Ce brave Totor a en effet essuyé pendant près de 10 minutes - j'avais à cet instant l'oeil rivé sur les logs, "j'ai tout vu m'sieur l'agent", comme dit l'autre - plusieurs centaines de connexions simultanées en provenance des quatres coins de la planète sur ce malheureux blog, centaines de connexions dont un gros paquet tentaient de poster de la merde de spam partout en commentaires et en trackbacks, jusque dans ma "page contact" grâce à laquelle j'ai reçu 6 mails tout moisis...

Là, un tel matraquage ne ressemble plus à du simple spam mais carrément à une attaque DDOS^[1] : J'ai vu monter la charge système de ce vieux Totor à plus de 30 (!!!), les applications commençaient à choper des temps de réponse escargotesques, il m'a lancé des instances d'Apache jusqu'à plus savoir où les foutre et swapper plus de 600 Megs dehors, whouàlàlàlà la chaleur !

Enfin bon, c'est du Linux, c'est du béton, dès qu'on arrête de taper ça se normalise aussitôt, mais ça prouve bien que ces putains d'enculés de leur mère de spammeurs contrôlent des parcs entiers de zombies aux 4 coins du globe, avec lesquels ils lancent leur attaques de manière simultanée et concentrée cible par cible.

Ca se voit couramment sur le SMTP, mais le SMTP se défend bien. Par contre, sur Apache avec du PHP lourd derrière, ça fait gros bobo au pauvre serveur, ça :-(

Notes

[1] DDOS : Distributed Denial Of Service, attaque qui consiste à attaquer une machine simultanément depuis de nombreuses autres machines, de manière à la surcharger ou à surcharger sa bande passante, provoquant ainsi une interruption de service durant le temps de l'attaque qui la "surcharge".

52.a1.1343.static.theplanet.com - - [04/May/2006:16:47:26 +0200] "POST /blog/tb.php?id=88 HTTP/1.1" 200 83 52.a1.1343.static.theplanet.com - - [04/May/2006:16:47:26 +0200] "POST /blog/tb.php?id=88 HTTP/1.1" 200 83 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.0rc3) Gecko/20020523" 52.a1.1343.static.theplanet.com - - [04/May/2006:16:49:41 +0200] "POST /blog/tb.php?id=88 HTTP/1.1" 200 83 52.a1.1343.static.theplanet.com - - [04/May/2006:16:49:41 +0200] "POST /blog/tb.php?id=88 HTTP/1.1" 200 83 "-" "Opera/7.0 (Windows 2000; U) [en]" 52.a1.1343.static.theplanet.com - - [04/May/2006:16:49:51 +0200] "POST /blog/tb.php?id=37 HTTP/1.1" 200 83 52.a1.1343.static.theplanet.com - - [04/May/2006:16:49:51 +0200] "POST /blog/tb.php?id=37 HTTP/1.1" 200 83 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 95)"

May 4 16:53:06 totor kernel: FW_log_dropIN=eth1 OUT= MAC=00:20:ed:b9:55:67:00:13:10:e6:02:86:08:00 SRC=67.19.161.82 DST=192.168.2.1 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=6079 DF PROTO=TCP SPT=40641 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 May 4 16:53:09 totor kernel: FW_log_dropIN=eth1 OUT= MAC=00:20:ed:b9:55:67:00:13:10:e6:02:86:08:00 SRC=67.19.161.82 DST=192.168.2.1 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=6080 DF PROTO=TCP SPT=40641 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 May 4 16:53:15 totor kernel: FW_log_dropIN=eth1 OUT= MAC=00:20:ed:b9:55:67:00:13:10:e6:02:86:08:00 SRC=67.19.161.82 DST=192.168.2.1 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=6081 DF PROTO=TCP SPT=40641 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

« septembre 2008
lun	mar	mer	jeu	ven	sam	dim
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

« septembre 2008

lun

mar

mer

jeu

ven

sam

dim

Commentaires

1. Le mercredi 3 mai 2006, 18:47 par Vengeur Masqué

Si tu t'étais mangé un vrai DDoS, ton pont Wifi aurait fondu :-)

2. Le mercredi 3 mai 2006, 18:50 par Petaramesh

V.M., faut atterrir, le pont Wi-Fi, je l'ai vendu sur eBay en octobre ou quelque chose comme ça... Non qu'il ne me soit pas arrivé pour autant d'avoir quelques merdes avec mes deux WRT54G qui le remplacent, par ailleurs...

En tout cas, là, j'en ai mangé assez pour que ça fatigue Totor davantage que le Wi-Fi...

3. Le mercredi 3 mai 2006, 18:59 par Le Monolecte

C'est une vraie plaie! Je rentre 10 mots spam supplémentaires par jour dans spamplemousse et les autres buses continuent. Ça devient d'un chiant. Surtout que leurs baudes de médocs de contrefaçon, on s'en tamponne grave! >:-(

4. Le mercredi 3 mai 2006, 19:04 par Petaramesh

@Le Monolecte : Moi, depuis que j'ai mis à la porte plein de pays pourris, je ne suis pas emmerdé, rien ne passe à travers, et je rajoute très peu de mots-clés, ou alors, juste pour le plaisir ;-)
Mais quand ils se mettent à taper comme des bourrins des quatres coins de la terre en même temps, le serveur tire quand même bien la langue... :~/
Saletés de nuisibles...

En plus ils s'en foutent qu'on s'en foute, de leurs cochonneries, tout ce qu'ils veulent c'est faire monter le ranking de leurs sites d'arnarques dans les moteurs de recherche...

5. Le mercredi 3 mai 2006, 19:58 par Le Monolecte

Oui, mais là, ils ne font grimper que dalle, vu que leurs bouzins finissent scotchés dans mon spamplemousse!

6. Le mercredi 3 mai 2006, 21:15 par Laflote

Ah, mais j'y suis, c'est vous trois qui avez écrit le scénario de MATRIX... ;-)

7. Le mercredi 3 mai 2006, 21:56 par Petaramesh

Tiens, et bien sans doute à cause de ces problèmes de spam de commentaires massifs, les braves gens d'Over-blog viennent à l'instant d'installer des captchas forcés sur la saisie de commentaires sur les blogs qu'ils hébergent, ce que j'ai constaté chez Laflote puis chez la Sardine Masquée.
Rappelons que les captchas sont les soi-disant tests de Turing rudimentaires basés le plus souvent sur la reconnaissance visuelle de quelques caractères déformés et rendus peu lisibles, représentés sous forme d'image, et qui sont censés être illisibles pour les spambots, mais le sont hélas encore plus pour les déficients visuels, raison pour laquelle ces gadgets sont à bannir comme contraires à toutes les recommandations d'accessibilité.
Un bel exemple de cas où le remède peut s'avérer pire que le mal...
Rappelons qu'il existe pour dotclear une tentative de création d'un captcha accessible qui se base sur la réponse à une question dont il faut comprendre le sens, plutôt que sur la reconnaissance visuelle de quelques caractères. Je reste tout de même assez dubitatif...

8. Le jeudi 4 mai 2006, 00:19 par Le Monolecte

Je trouve ça, au contraire excellent. Voilà donc le captcha Kiss Cool : la sémantique étant absolument inabordable pour un webbot standard, particulièrement en français, nous voilà effectivement débarrassés du spam pour longtemps. Et c'est là qu'intervient le deuxième effet Kiss Cool : ça élimine aussi les mal-comprenants! Fini les fâcheux, on va pouvoir bloguer en rond entre gens de bonne compagnie, avec taux neuronal minimum garanti!!! ;-) :-D

9. Le jeudi 4 mai 2006, 07:26 par Petaramesh

@Le Monolecte : Sauf que...
Sauf qu'aucun système de captcha, intelligent ou bête, ne peut être mis en place pour les trackbacks, car il n'y a aucune interaction directe entre la personne qui crée un trackback et le serveur destinataire de celui-ci. Il n'y a là qu'interaction de serveur à serveur, et, pour mettre en place une étape de validation supplémentaire (un captcha ou quoi que ce soit d'autre), il faudrait profondément modifier le protocole qui permet les trackbacks.
Donc, les captchas quels qu'ils soient ne sont pas près de nous débarrasser des spams via trackbacks.
Quand je vois que tu t'en es bouffé trente-deux qui sont passé à travers rien que cette nuit entre 1h et 7h25 (maintenant) (et que je n'ai aucune visibilité sur le nombre de mouches collées dans la toile de ton Spamplemousse)... Je ne te demande pas si tu te sens concernée par le problème ;-)
...et il serait tout de même navrant de devoir renoncer complètement au principe des trackbacks uniquement à cause des pollueurs éternels...

10. Le jeudi 4 mai 2006, 07:51 par Petaramesh

...Et encore une nouvelle giclée de 20 trackbacks pourris pour ce pauvre Monolecte. Ca n'en fait que 52 qui sont passés à travers depuis 1 heure la nuit dernière, si je ne m'abuse...
Là, Agnès, je crois vraiment qu'ils te cherchent.
Bien que je sache que la chose te déplaît, je crois que tu vas quand même devoir réfléchir à la question de blinder ton Spamplemousse avec un filtrage par pays... Sinon, chez toi, ça va finir par être difficilement tenable...

11. Le jeudi 4 mai 2006, 08:25 par Le Monolecte

Arf, les gredins. Heureusement, il y a Mcomment, le plugin qui permet de supprimer les commentaires/trackbacks pourraves par lots, parce que un par un, c'est super fastidieux.

12. Le jeudi 4 mai 2006, 16:57 par Petaramesh

...et toi, connard :

...une fois pour toutes...

[root@totor etc]# iptables -I pub_in 1 -s 67.19.161.82 -j log_drop

...tu dégages ! V'là. et comme ça, c'est clair ?

...Ah ouééé, on dirait :

Ashram de Swâmi Petaramesh