web-dev-qa-db-fra.com

Spam identique provenant de nombreuses adresses IP différentes (mais similaires)

Un forum que je dirige a récemment été victime de comptes d'utilisateurs de spam - plusieurs comptes ont été enregistrés et le profil est rempli de publicités/de liens. Tout cela concerne la même entreprise ou le même groupe d’entreprises.

J'ai supprimé plusieurs comptes il y a plusieurs semaines et bloqué certaines adresses IP, mais aujourd'hui, ils sont revenus avec le même spam. Chaque compte a une adresse IP différente, mais ils ont tous la forme 122.179.*.* ou 122.169.*.*.

J'envisage de bloquer ces deux plages d'adresses IP, mais il existe potentiellement des milliers d'adresses IP dans cette plage. Ils semblent être attribués à l'Inde (bien que le spam s'adresse à une société américaine), alors étant donné que le site s'adresse à un public occidental anglophone, peut-être que cela n'a pas d'importance. Mes questions:

  1. Comment affichent-ils sur autant d'IP?
  2. Existe-t-il une limite au nombre d'adresses IP auxquelles ils ont accès?
  3. Y a-t-il autre chose que je puisse faire au niveau IP pour les bloquer? (Je cherche d'autres mesures comme le blocage des noms d'utilisateur/liens.)
spamforumip-address
5
DisgruntledGoat

1.

Ils semblent provenir d'une connexion DSL. Par conséquent, après avoir posté le message, s'ils se déconnectent d'Internet et se reconnectent, ils obtiendront une adresse IP différente.

2.

Oui, il y a une limite, alors ne bloquez que la classe dont vous êtes sûr d'avoir du spam afin de limiter les "faux positifs".

En utilisant Whois de APNIC , nous pouvons voir que la classe 122.179 est divisée en:

122.179.0.0 - 122.179.127.255
122.179.128.0 - 122.179.191.255
122.179.192.0 - 122.179.255.255

et la classe 122.169 est répandue dans:

122.169.0.0 - 122.169.7.255
122.169.8.0 - 122.169.11.255
122.169.12.0 - 122.169.13.255
122.169.14.0 - 122.169.14.255
122.169.15.0 - 122.169.15.255
...
122.169.112.0 - 122.169.127.255
122.169.128.0 - 122.169.191.255
122.169.192.0 - 122.169.192.255
...

3.

Étant donné que votre public n'est pas l'Inde et que la société sur laquelle ils envoient des spams est située aux États-Unis, ils ont probablement été embauchés ou externalisés pour la publicité et ils ont été trop loin.
Vous pouvez rechercher tous les blocs IP de leurs fournisseurs et les interdire (par exemple, "BHARTI TELENET LTD.MUMBAI", "ABTS AP").

Bonne chance!

3
CSᵠ

Avez-vous essayé de bloquer la plage d'adresses IP via un fichier .htaccess?

Pour bloquer plusieurs adresses IP, répertoriez-les une par ligne.

order allow,deny
deny from 177.0.0.1 
deny from 177.0.0.2
deny from 177.0.0.3
allow from all

Vous pouvez également bloquer un bloc IP complet.

par exemple. - deny from 177.0.0

Cela refusera l'accès à tout utilisateur possédant une adresse comprise entre 177.0.0.0 et 177.0.0.255.

2
user21021

Le site Stop Forum Spam est une ressource pour aider à bloquer les spammeurs de forum. Sa base de données peut être interrogée manuellement ou par API par adresse IP, nom d'utilisateur ou adresse e-mail. Pour Simple Machines Forum (SMF) sites, j’utilise un module qui interroge sa base de données pour bloquer les spammeurs du forum. Des modules sont également disponibles pour de nombreux autres progiciels de forum afin d'interroger automatiquement sa base de données. Vous trouverez une liste des autres logiciels de forum pour lesquels des modules sont disponibles sur la page Mods & Plugins du site Stop Forum Spam.

Une recherche sur 122.169 et 122.179 sur Stop Spam Forum page de recherche montre que d'autres forums voient actuellement des spammeurs utiliser des adresses IP dans ces plages.

2
MoonPoint

Ma suggestion depuis que je me suis récemment occupé d'un problème similaire sur un de mes forums est de changer l'inscription de sorte qu'un utilisateur doit être accepté par un administrateur avant de devenir membre du forum.

1
PyroSamurai

Quoi que vous essayiez, différents appareils avec plusieurs adresses IP essaieront toujours de faire du mal aux sites Web. Le terme efficace ici est "script kiddies".

Votre meilleur choix est de vérifier d’abord vos journaux sur le serveur sur lequel se trouve le forum. Si le logiciel du site Web est Apache, recherchez les fichiers access_log et error_log.

Dans ces fichiers journaux, vous remarquerez probablement plusieurs dizaines d'entrées impliquant la même adresse IP tentant de se connecter à un ensemble d'URL.

Il existe plusieurs façons d’éviter le problème que vous rencontrez.

  1. Déplacez les fichiers représentant le forum et/ou renommez-les et mettez à jour les scripts et les fichiers de configuration en conséquence. Par exemple, dans une configuration wordpress, renommez wp-admin.php en worda.php et modifiez tous les fichiers wp-admin.php de tous les fichiers appartenant à wordpress en worda.php. . De cette façon, le script kiddie n'essaierait probablement pas d'accéder à votre script car vous utilisiez un nom inhabituel et probablement jamais documenté.

OU.

  1. Configurez le forum de sorte que les utilisateurs doivent entrer un code de sécurité pour s'enregistrer ou même publier un message en tant qu'invité.

Je suis contre le blocage de ces IP attaquants car ils pourraient être des IP d'un mélange de bons (et éventuellement d'utilisateurs recherchés) et de mauvais utilisateurs. Par exemple, l'adresse IP est connectée à un routeur et à un groupe d'ordinateurs et un ordinateur est utilisé pour commettre des actes malveillants. actes Internet.

0
Mike