Myriad Blog 1.3.0 Tuesday, Dec 12th, 2017 at 00:08am 

Monday, Dec 17th, 2012 at 05:01pm
MUSL: Tsunami de spam

 
Sur les pages Web offertes aux utilisateurs d'Harmony Assistant (MUSL), nous avions mis en place un petit système de commentaires, très léger et simple.
 
Nous n'avions rencontré aucun problème d'attaque extérieure, jusqu'à la semaine dernière.  
En fin de semaine, des dizaines, puis rapidement des centaines de messages publicitaires ont commencé à se déverser. Notre petit filtre anti-spam, très simple et très léger, lui aussi, a rapidement été débordé, et ces messages ont commencé à apparaître publiquement.
 
En urgence, nous les avons supprimés manuellement, puis avons durci les règles, pour en éliminer automatiquement le plus grand nombre possible. Le robot spammeur était assez sophistiqué. Il ne se contentait pas d'envoyer le formulaire de commentaire rempli, il chargeait aussi à chaque fois la page Web, et était capable de s'adapter au changement du nom des champs du formulaire. Les adresses IP changeaient perpétuellement, et étaient tirées d'un "pool" assez large, compliquant le blocage individuel.
 
Nous avons donc réfléchi assez rapidement à ce que nous pouvions faire de plus.  
 
- Mettre un "captcha" était possible, mais contraignant pour l'utilisateur, pour la simplicité des pages Web présentant les musiques des utilisateurs de MUSL, et assez lourd.
 
- Analyser plus finement la manière de poster du spammeur, pour le bloquer plus efficacement : nous l'avons fait, et avons trouvé quelques détails nous permettant de le différencier d'un internaute humain. Le taux de succès atteignait 99.5%. Mais avec une tentative par minute, quelques-uns passaient encore.
 
C'est alors que nous avons découvert une base de données gratuite, recensant toutes les adresses IP des spammeurs de forum. Cette base est complétée quotidiennement, et toutes les adresses IP de notre spammeur s'y trouvaient listées.
 
Nous avons donc développé un module en Perl qui recherche l'IP du visiteur dans cette base, remise à jour quotidiennement. Si elle y est trouvée, les accès aux commentaires du MUSL sont interdits.
Voyant que cela fonctionnait, nous avons utilisé la même technique pour les messages du forum et les commentaires de ce blog.
 
Nous n'avons pas, pour l'instant, reçu de plainte de personnes qui auraient détectées été à tort. Des dizaines de milliers de tentatives d'accès par ces adresses IP "toxiques" ont par contre été empêchées, en seulement quelques jours.
by Olivier Guillion
Comments

Comment from Monday, Dec 17th, 2012 at 08:47pm
(No subject)
Même problèmes, et action similaire (sauf que je n'ai pas mis les mains dans le cambouis) pour mon wiki : bonheur
(j'ai repiqué la solution utilisée chez Wikipedia)


Most recent first
Oldest first

Top of page
Legal information Last update:  (c) Myriad