exemple de SPAM furtif

Poser des questions, proposer des évolutions, étendre les zones, organisations diverses du site, partenaires...
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: exemple de SPAM furtif

Message par Dominique »

Claude Mauguier a écrit : 07 déc. 2018, 10:14
sly a écrit : 06 déc. 2018, 16:09 Pour info technique, l'IP de "lisa09" ( 90.63.241.205) n'est pas listé sur https://www.spamhaus.org/xbl/
et ce n'était pas non plus le cas pour "sabrinaali2"
Choux blanc pour la liste de protection anti-casse pieds
Je relis ton post. Donc pas moyen d'intégrer ces deux I.P. à spamhaus (lequel doit fonctionner comme "étalon" d'évaluation de qui est un spam et qui ne l'est pas... je suppose) ??
heu... pourquoi voulez-vous bloquer les IP alors qu'il suffit de rebooter sa box pour en changer et que l'IP bloquée aille à son voisin ?
Avatar du membre
Claude Mauguier
Messages : 4233
Enregistré le : 16 févr. 2005, 01:00
Localisation : Isére

Re: exemple de SPAM furtif

Message par Claude Mauguier »

Dominique a écrit : 07 déc. 2018, 21:32heu... pourquoi voulez-vous bloquer les IP alors qu'il suffit de rebooter sa box pour en changer et que l'IP bloquée aille à son voisin ?
Heu (bis)... je croyais, fort naïvement, que l'IP était comme les empreintes digitales, un truc permanent, unique et irréfragable et qu'elle suivait un internaute (sa machine + sa localisation sur le réseau) comme son ombre ! Autrement dit, c'est le joyeux bazar dans le landerneau d'internet.... :shock:
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: exemple de SPAM furtif

Message par sly »

Dominique a écrit : 07 déc. 2018, 21:32 heu... pourquoi voulez-vous bloquer les IP alors qu'il suffit de rebooter sa box pour en changer et que l'IP bloquée aille à son voisin ?
Mon expérience sur la liste xbl que j'ai cité est incomplète, mais je connais un peu mieux les autres listes sur le même principe qui luttent contre le spam email

C'est un peu plus compliqué que juste "bloquer les IPs" : Le blocage a une composante de durée. Et l'objectif n'est pas un résultat à 100%, l'objectif c'est de rendre le travail suffisamment pénible aux spammeurs, donc pas rentable, avec un nombre réduit de faux positifs.
J'ignore précisément celui de la liste que j'ai pointé, mais en général il y a une durée un blocage qui sera fonction du nombre de spam rencontré. L'idée étant que si le spam est envoyé par un ADSL résidentiel, au delà de disons 50 messages de spam, l'IP sera bloquée, mais au delà de disons 12 heures, l'IP sera débloquée. La technique de rebooter sa box va donc s'avérer suffisamment pénible pour le spammeur pour le dissuader d'opter pour cette technique, et le dommage collatéral sera suffisamment faible car je soupçonne que l'adresse IP libérée ne sera pas attribuée immédiatement à un autre.

De plus, l'idée de cette lutte, c'est pas de cibler le spammeur du dimanche qui ajoute 20 messages par semaine (comme ça semble d'ailleurs le cas pour Lisa09, puisque cela provient d'une IP résidentielle wanadoo et concernant des chalets de courchevel, donc hyper ciblé) que l'on arrive à gérer manuellement sans trop y passer de temps, mais celui qui a automatisé le processus en masse pour, à lui seul, emm.... des milliers de forum a travers le monde et qui représente un travail de modération immense.
Celui qui nous a fait la pub pour les mutuelles je sais plus quoi semble plus dans ce profil. Et celui là n'utilisera sans doute pas la technique de la box à rebooter, mais celle d'acheter 100 d'adresses IP pour commettre ces méfaits, mais cela aussi a un coût, et si au bout de 50 x 100 messages toutes ses adresses sont bloquées pour 12h, et qu'en cas de récidive on passe à 7 jours de blocage, disons qu'il va finir par avoir du mal à jouer au chat et à la souris à force de "rebooter sa box"


Mais tout ce baratin n'est qu'éventuellement pour plus tard, notre problème, pour l'heure, n'est pas suffisamment pénible, pour changer notre lutte manuelle.
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: exemple de SPAM furtif

Message par Dominique »

Merci SLY. Je ne connaissais pas XBL et sa stratégie qui me semble plus logique et surtout ciblée sur les attaques de masses qui viennent de serveurs qui sont en général sur des IP fixes.
Au vu de ces infos, on peut en déduire que la fonction blocage des IP ne devrait pas être utilisée sans durée (la fonction existe dans PhpBB).
Il y a aujourd'hui 34 adresses bloquées de façon permanente avec la probabilité que ce soit des adresses de box potentiellement réallouables à des particuliers qui se verraient bloqués sans raison.
Je propose de remettre cette liste à 0.
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: exemple de SPAM furtif

Message par sly »

Ok pour remettre à zéro et pour suggérer aux modérateurs de laisser tomber cette option car je doute de sa pertinence. C'est a mon avis du temps perdu pour rien, les spammeurs savent utiliser plusieurs IP et les lister toutes me semble utopique.
Bloque par nom d'utilisateur ou par email idem


Note: Je viens de vider les listes d'IP, d'email* et de nom d'utilisateur, au pire, j'ai une sauvegarde, mais je ne pense pas que ces fonctions de bannissement nous ait empêcher significativement qui que ce soit de rentrer.


* J'ai laissé toutefois *@yahoo.com.cn et *@rocketmail.com qui ne sont pas des adresses individuelles mais des services emails qui sont peut-être utilisé tout particulièrement par des spammeurs. Mais j'hésite, peut-être de vrai humains s'en servent-il aussi ?
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: exemple de SPAM furtif

Message par Dominique »

Tu y as été fort.
J'aurais laissé les mails. Si ça ne dissuade pas les fermes à clic, ça peut contenir quelques trolls.
Pour les adresses *@, c'est curieux. J'espère que ça ne blackliste pas toutes les adresses de l'opérateur ?
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: exemple de SPAM furtif

Message par sly »

"fort" il faut mesurer la portée du blacklistage, il y avait à tout casser 5 adresses email du genre joe1456@gmail.com et bobxyzt@hotmail.fr pas vraiment de quoi croire que le spammeur va revenir, 2 ans plus tard, avec la même adresse email.

"*" : On dirait bien que si, voici ce que dit la description du champ : "Pour bannir sur une partie du nom, utilisez « * » comme caractère joker, par exemple : *@hotmail.com" Donc, oui, cette règle bannit tous les utilisateurs de rocketmail.com
J'ignore qui l'a choisi, mais personne n'est venu porter plainte depuis ;-)
ça sent la réponse temporaire à une exagération temporaire qui est devenue permanente.
Je vire...
Avatar du membre
Claude Mauguier
Messages : 4233
Enregistré le : 16 févr. 2005, 01:00
Localisation : Isére

Re: exemple de SPAM furtif

Message par Claude Mauguier »

Dominique a écrit : 09 déc. 2018, 12:44 les fermes à clic,
:shock: :?: :?:
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: exemple de SPAM furtif

Message par Dominique »

Claude Mauguier a écrit : 09 déc. 2018, 17:14
Dominique a écrit : 09 déc. 2018, 12:44 les fermes à clic,
:shock: :?: :?:
https://www.lesechos.fr/24/06/2017/lese ... le-web.htm
Avatar du membre
Claude Mauguier
Messages : 4233
Enregistré le : 16 févr. 2005, 01:00
Localisation : Isére

Re: exemple de SPAM furtif

Message par Claude Mauguier »

Dominique a écrit : 09 déc. 2018, 17:32
Claude Mauguier a écrit : 09 déc. 2018, 17:14
Dominique a écrit : 09 déc. 2018, 12:44 les fermes à clic,
:shock: :?: :?:
https://www.lesechos.fr/24/06/2017/lese ... le-web.htm
Je comprends mieux.... :wink:
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: exemple de SPAM furtif

Message par sly »

Dans ce sujet : viewtopic.php?f=7&t=8995
claude nous fait découvrir cleantalk.org

La pertinence (la plupart des IP de spammeurs relevé par claude étaient vraiment des spammeurs) du truc m'invite à me demander si ça ne pourrait pas être un rempart de première ligne. Qui, au lieu d'être interrogé a posteriori comme contrôle, l'être lors de chaque message entré ?

Dominique avait d'ailleurs cité, ici même, ce plugin pour notre forum :
https://www.phpbb.com/customise/db/exte ... cleantalk/
qui semble capable de se connecter à cleantalk.org

ça n'est pas gratuit, mais si j'en crois ça :
https://cleantalk.org/price-anti-spam

ça ferait du $8 par an pour un site. C'est pas grand chose et si cela nous "purifie" le forum et je suis prêt à prendre l'offre.

Votre avis avant éventuel test de compatibilité ?
Avatar du membre
Dominique
Messages : 3704
Enregistré le : 08 avr. 2006, 21:58

Re: exemple de SPAM furtif

Message par Dominique »

sly a écrit : 18 mai 2019, 10:40Votre avis avant éventuel test de compatibilité ?
ça peut être tenté.

Note que l'extension est annoncée compatible 3.1.9 et que nous sommes en 3.2.0 mais qu'elle semble être colmpatible 3.2+
https://github.com/CleanTalk/phpbb3.1-3.2-antispam
Un beau tuto là : https://cleantalk.org/help/install-phpbb31
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: exemple de SPAM furtif

Message par sly »

ici : https://www.phpbb.com/customise/db/exte ... cleantalk/
ça dit :

Is MOD compatible with phpBB 3.2?
We have tested the compatibility our Anti-Spam mod with phpBB 3.2 and for the moment we can report that our phpBB MOD is running fine.

En plus y'a un mode démo pour 7 jours à tester. Dès que je trouve un peu de temps, je créer un compte et m'en occupe de tester, sauf contre ordre d'ici là de type: "ça va tout planter, ça sert à rien, j'adore le spam ou j'ai trouvé mieux"
Avatar du membre
Claude Mauguier
Messages : 4233
Enregistré le : 16 févr. 2005, 01:00
Localisation : Isére

Re: exemple de SPAM furtif

Message par Claude Mauguier »

Ben si les experts pensent que ça peut rendre service je suis pour aussi, quitte à rechercher plus tard une autre database plus performante, plus sioux, qui recense autre chose en plus des IP, mails, user, domaines etc.
Avatar du membre
sly
Messages : 5041
Enregistré le : 29 févr. 2004, 17:59
Localisation : Chambéry - Savoie

Re: exemple de SPAM furtif

Message par sly »

Bon ben c'est plutôt bien fait, simple et très rapidement installé.
Voilà qui est en place !

Maintenant, voyons un peu dans le temps ce qui se passe (j'ai une interface pour surveiller tout ça) et voir que personne n'est mis à la porte par erreur ni que des spammeurs rentrent quand même...

7 jours de test, mais je pense que pour $8 je peux poursuivre le test, comme dit claude, si on voit que ça sert à rien, en 3 clics c'est poubelle, et si le concept est bon, mais pas éfficace, il sera toujours temps de chercher des concurrents...