Forums pollués par des comptes frauduleux: plages IP à bannir
Par Nicolas HAHN le dimanche 5 janvier 2014, 16:29 - Technologies - Lien permanent
Si vous aussi vous gérez des serveurs qui hébergent des forums, par exemple sous PHPBB, vous avez sans nul doute été confronté au problème pour le moins récurrent des créations de comptes frauduleux.
Ces comptes frauduleux sont en principe créés par des robots (des bots). Leur but est de repérer les forums permissifs sur lesquels les autorisations d'accès sont faibles voire inexistantes, pour ensuite permettre à la personne ou au groupement de personnes qui contrôlent ces bots, de poster leurs publicités malsaines, qui ont très souvent trait au sexe et comportent des images très explicites, ainsi que des liens vers leurs propres sites web.
C'est du racolage numérique.
Les protections qui sont disponibles de façon standard dans les logiciels de forum, tel PHPBB3 par exemple, sont devenues insuffisantes. Ainsi, un captcha, qui consiste a générer un code sous forme d'image déformée que l'internaute doit indiquer lors de son inscription sur le forum, est très souvent et très facilement contourné.
Vous pouvez donc vous retrouver dans une situation où votre forum, le lendemain lorsque vous allez faire un tour dessus, a totalement été pollué dans toutes les rubriques par des sujets indésirables. Et cela peut prendre des heures pour le nettoyer et supprimer les comptes frauduleux.
Les bots qui créent ces comptes frauduleux viennent en très très grande majorité du même endroit: pays de l'est et à une écrasante majorité les pays de l'ex-URSS. Mais aussi la Pologne, et des pays de l'est de l'Europe. On oubliera pas le continent africain qui dispose d'une place de choix dans ce panel et dont les activités qui tournent autour du phishing (par email ou sur les forums) est un fond de commerce.
Il y a aussi des attaques qui peuvent provenir de France ou d'Allemagne, ou de pays tout aussi bien "numériquement" développés. il s'agit en fait de serveurs mal configurés, la plupart du temps des serveurs Microsoft, et qui sont utilisés comme bases de relais par ces groupements de personnes nuisibles pour attaquer d'autres serveurs depuis "l'intérieur du pays". Ce sont des serveurs sur lesquels ont été installés des trojans (chevaux de Troie) par des hackers.
Alors mis à part répéter sans cesse qu'il est absolument nécessaire de bien sécuriser les serveurs et les services qu'ils fournissent (forums, emails, sites web, ...) partout dans les datacenters pour éviter qu'ils ne soient infestés par des Trojans, que peut-on faire d'autre?
On peut bien entendu compter sur l'amélioration des dispositifs de sécurité intégrés dans les logiciels de forum. Mais d'après mon expérience cela ne suffit pas.
Finalement, on peut mettre en place ce que l'on appelle un pot de miel.
Pour faire simple, un pot de miel est un serveur fournissant un service fictif à destination du public, dont la sécurité est volontairement diminuée (ou parait volontairement diminuée) de façon à paraître une cible facile.
Cette cible verra déferler sur elle les attaques diverses et variées, tout en collectant les données essentielles qui permettront de contre-carrer ces attaques, en plus de détourner les attaques sur elle-même. En terme militaire, on pourrait dire que c'est similaire à un avion qui lancerait des contre-mesures pour éviter qu'un missile ne le touche, tout en effectuant une manœuvre d'évitement en même temps.
Dans le sujet qui nous occupe, cela peut consister par exemple à mettre en place un forum un peu plus permissif que les vrais forums de production. Par exemple, le captcha pourra être plus simpliste, et un utilisateur fraichement inscrit sur le forum pourrait être autorisé à publier un seul sujet en attendant plus ample validation de son identité.
Et pendant ce temps, dans les logs du forum, l'administrateur pourra collecter toutes les informations permettant de bloquer ces attaques à la source, c'est à dire les adresses IP ou plages d'adresses IPs.
Le pot de miel est vieux comme le monde, et il suffit de se balader sur google pour voir qu'il y a nombre de sujets en la matière. Alors pourquoi je vous en parle ici?
Tout simplement parce que j'adore le miel d'une part, et que d'autre part, j'en ai mis un en place pour mes besoins personnels en tant qu'hébergeur de services informatiques. Et au bout de deux ans de collecte, j'ai été en mesure d'isoler quelque chose comme 4535 plages d'adresses IPs d'où sont émises la plupart et la grande majorité des attaques de forums par ouverture de comptes frauduleux.
J'utilise ces résultats pour configurer mes firewalls et empêcher purement et simplement que ces plages d'adresses IPs se connectent sur mes serveurs.
Ces résultats, je vous les met à disposition ici au cas où vous souhaiteriez apporter un "mur" de plus à vos protections, si vous aussi vous en avez l'utilité. Le fichier est au format Iptables (le firewall intégré au kernel Linux).
Bien entendu, ce fichier évolue tous les jours.