Spammer vol. 2

Publikováno: . Kategorie: Ostatní práce

Zhruba před týdnem jsem byl nucen implementovat protispamová opatření na webu www.pivoavino.cz. Což mne naštvalo, protože jsem měl původně v plánu dělat něco jiného. Tentokrát jsem vše (až na jednu výjimku) důkladně zdokumentoval. Zde je analýza uživatele, IP adresy a domény.

Popis situace

Součástí webu www.pivoavino.cz je i diskusní fórum založené na komponentě Kunena. Opět z důvodu rozjezdu jsme ponechali možnost přispívat i nezaregistrovaným uživatelům.

Spammer si nejprve zaregistroval svého uživatele. Již jeho login a e-mail mi připadaly podezřelé, nicméně v prvním okamžiku jsem vyčkával, co provede. Po několika dnech přišel od tohoto uživatele první spam. Klasika - lákání na jakési zboží. Spam jsem smazal, a to tak, že úplně, což zpětně hodnotím jako chybu, protože už nedohledám IP adresu, ze které byl odeslán. Uživatele jsem nemazal, pouze jsem mu ve fóru udělil ban a v Joomle jsem jej zablokoval. Joomla totiž nedovolí více uživatelů se stejným e-mailem, což sice opakované registraci nezabrání, ale může ji trochu ztížit. Bylo však jen otázkou času, kdy spammer začne využívat možnost přispívat jako nezaregistrovaný uživatel. Jeden spam jsem ještě smazal, ale když jednou mezi půlnocí a pátou hodinou ranní přibylo ve fóru šest spamů, musel jsem začít jednat.

Analýza spammera

Než popíšu přijatá opatření, udělám analýzu uživatele a spamu.

Uživatelský účet

Nejprve se podíváme na detaily uživatelského účtu.

Uživatel getloans - to zavání spamem...

Už login a jméno "getloans" zavání potenciálním spamem. Když se k tomu přidá e-mailová adresa prvixxx@cheap-car-insurance-quotes.cf, podezření je na místě. Spam, který jsme měli ve fóru pod tímto loginem, jsem však nenávratně smazal.

Ale podívejme se podrobněji na doménu cheap-car-insurance-quotes.cf. TLD .cf je národní doména Středoafrické Republiky. Kdo je majitelem domény, to se mi nepodařilo úspěšně zjistit (Google při hledání vytrvale nabízel levné autopojištění), nicméně nějaké informace jsem přece jenom získal - viz následující screenshoty:

Hosting a IP adresa - klikněte pro zvětšení

Kontakty - klikněte pro zvětšení

Více informací lze získat na whois.domaintools.com, odkud jsem screenshoty pořídil. Jestli uvedené kontakty znamenají majitele, nebo se jedná pouze o technický kontakt, se mi nepodařilo zjistit. Zajímavější je však IP adresa 37.187.56.97, na kterou doména směřuje. Jedná se o hosting OVH Systems a počítač je umístěn v Paříži - informace i s mapou k nalezení zde. Záznam o IP adrese jsem však objevil i na serveru abuseipdb.com, kde jsem objevil i hlášení, že jsou z něj podnikány útoky typu hacking a SQL injection. Záznam o této IP adrese jsem také objevil i na serveru virustotal.com. Co to tedy může znamenat?

Anonymní spam

Ukázalo se být prozíravé nemazat spam úplně, pouze ho přesunout do koše pro účely pozdější analýzy.

Několik spamů - jedna IP adresa - klikněte pro zvětšení

Všechny spamy pocházely z IP adresy 91.236.75.102. Počítač s touto IP adresou je umístěn v Polsku - informace včetně mapy zde. Jestli se jedná přímo o spammera nebo pouze o anonymní proxy server, prostřednictvím něhož se spammer maskuje, to nevím, nicméně dle Googlu je to zřejmě "známá firma" - hned na první stránce s výsledky hledání jsem objevil několik serverů s hlášením, že se jedná o blog spammera a forum spammera:

Řešení

Řešení se přímo nabízí: zablokovat danou IP adresu. Kunena fórum vlastní nástroje pro blokování přístupu neposkytuje, blokování je proto nutné implementovat na úrovni Joomly. Existuje více pluginů pro blokování, nicméně jsem se rozhodl implementovat blokování přímo v souboru .htaccess - návod viz zde. K tomu jsem vytvořil vlastní chybovou stránku coby jednoduchý PHP skript, který zobrazil hlášení (česky a anglicky):

Vaše IP adresa [xxx.xxx.xxx.xxx] byla zablokována z důvodu opakovaného spamování v našem fóru.

Zatím to vypadá, že jsem spammera úspěšně zablokoval, k hodnocení je však brzo, uvidíme po delší době než jeden týden. Je mi jasné, že jsem zablokoval pouze tuto jednu IP adresu, a pokud se objeví jiný spammer, budu na něj muset reagovat. Řešení mám ale předpřipravené, stačí přidat jeho IP adresu do seznamu blokovaných.

Ještě se nabízí otázka, zda nezablokovat přístup pouze do fóra. To bude trochu složitější, web totiž používá URL rewriting, struktura webu tudíž neodpovídá adresářové struktuře hostingu. Vzhledem k výše uvedené analýze je však kompletní zablokování přístupu správné řešení.

Pro informaci ještě odkaz na předchozí článek s řešením jiného případu spamu.

Tagy: Spam, Pivo a víno.cz, Joomla

Tento web bude tebe a tvůj počítač krmit piškotkami, jelikož a protože je to slušný web a jako takový ví, že je potřeba návštěvu řádně pohostit, aby se u nás cítila dobře. Užíváním tohoto webu potvrzuješ, že netrpíš mentální anorexií, nedržíš žádnou obskurní dietu a že můžeš piškotki do sebe cpát kdykoli a v jakémkoli množství. Více informací...