Spam en cours sur le forum.

[XX69]

En fait c'est un vrai OS jamais piraté puisque c'est OS X le forum...

Mais je vous rassure la machine est bien sécurisé, c'est le forum lui même qui est attaqué et d'ailleurs j'ai l'impression que c'est toujours les mêmes postes, je pense donc que quelqu'un a récupérer manuellement les URL et post seulement dans ces sujets... je vais voir ce que je peux y faire...

Maxime

[XX69]

Bon j'ai besoin d'un peu d'aide...

Je suis ingénieur INFO mais php c'est pas ma cam.

J'ai identifié deux requétes SQL à passer sur la base pour virer les intrus :

DELETE
FROM `phpbb_posts_text`
WHERE post_id IN
(SELECT post_id FROM phpbb_posts WHERE post_username like "name%")

DELETE
FROM `phpbb_posts`
WHERE post_username like "name%"

en remplacent "name" par jtsfds ou scuko

Ca marche bien.

maintenant le but serais de faire une page php accessible seulement aux modos pour automatiser la choses en partant d'un page phpBB... si quelqu'un est plus a l'aise que moi. Attention c'est quand même une arme de destruction massive ce truc... ca peux effacer les 4000 posts de nos concierges d'un coup !!!

Maxime

[Renou-Invité]

Maxime,
Il ne te reste plus qu'à lancer ton srutateur en cron ou par "at"; Il tournera en tâche de fond et killera tous les id's indésirables à partir du compte root sur les FS du Forum. Mais, ils vont modifier leurs ID's quand ils s'en rendront compte. Ou bien travailler en amont sur TCP/IP avec des wrappers ou des solutions de ce type.
Bon courage contre les spamers.

[Emgé]

La question du NUL :

Bon d'accord je n'y connais vraiment rien, mais je me demande s'il est judicieux d'exposer ici des stratégies de défense

Sauf si elles sont fausses

[JMarc]

bon, ce matin les spams ont changé de noms. ils rentrent toujours par les mêmes sujets... on fait quoi?
j'ai peur de nettoyer car si Maxime fait une routine pour les shooter automatiquement, je crains de mettre plus le bazar que de donner un coup de main...
dites moi ce que je dois faire.

[XX69]

On va laisser faire... Je pars pour la journée, mais a mon retour je vais essayer de changer l'index des posts qui sont spammés.

Maxime

[manu59]

J'ai la solution anti spams: le seul OS jamais piraté!
Allez, je sors car là, je fais du consulting!
Bonsoir.

un unisys 2200?

[manu59]

bon, ce matin les spams ont changé de noms. ils rentrent toujours par les mêmes sujets... on fait quoi?
j'ai peur de nettoyer car si Maxime fait une routine pour les shooter automatiquement, je crains de mettre plus le bazar que de donner un coup de main...
dites moi ce que je dois faire.

Les spams sont postés avec la même adresse IP?

[JMarc]

je n'ai pas regardé de peur de mettre encore plus le bazar

[manu59]

Je ne connais les soft mis en place pour le forum mais s'il n'y a qu'une IP, peut-être filtrer cette IP

tu peux aussi me la filer, je regarderais pour récuperer quelques infos sur notre spammeur....

[XX69]

Non en fait il y en a plusieurs aléatoire. Il doit utilisé un proxy anonymiseur...

J'ai déjà fait quelques traceroute ca e mène nulle part.

Maxime

[floyd38]

on trouve de tout dans ce forum meme des post qui parles chinois...

[manu59]

Non en fait il y en a plusieurs aléatoire. Il doit utilisé un proxy anonymiseur...

J'ai déjà fait quelques traceroute ca e mène nulle part.

Maxime

reste 2 choix: modifier le post en anonyme ou filtrer la base mysql pour supprimer les spams

[XX69]

c'est ce que je fais pour le moment, j'enlève les spams grâce a deux requête SQL. mais bon j'ai plusieurs choix car j'ai remarqué qu'il utilise toujours les mêmes topic, il doit donc avoir pris les topics ids d'une dixaine de sujet. On pourrait changer les topic id, pas très dur à faire, mais danguereux pour la base de donnée. Sinon je peux aussi renommer la page qui permet de créer une réponse... ca doit pas être trop dur. Mais pour ça je préfere attendre Arnaud.

Maxime

[bugman23]

Arnaud à pas le net de chez ses parents, je sais pas combien de temps il reste chez eux.

[XX69]

Encore une semaine...

Maxime

[JMarc]

c'est toi qui a mis le post inter regions en quarantaine?

[talli]

Bah oui il est ou????

[Renou-Invité]

Bonjour,

Pour coincer le petit rigolo, il est impossible de travailler sur une IP puisqu'en fonction eds négo. DHCP, elle varie d'un bail à l'autre l'adresse. Il faudrait récupérer la Mac Adress qui est unique, puis filtrer dessus. Mais attention, il y a des spams qui présentent de fausses Mac adress désormais. Pas simple en effet de traquer les intempestifs.
Cdt.

[Renou-Invité]

XX69,


J'ai remarqué que certains posts disparaissaient ou étaient "locked" sur le forum. Il semblerait que le facétieux "jtds*" s'immisce sur ce forum à partir de connections déjà établies. Il y avait des bréches de sécurité sur les différents servers d'applis TCP/IP des machines Unix ( ftp server,lpd...). N'y a t'il pas des patches à appliquer sur Mac OS X pour palier ce type de problémes?
Cdt.

[XX69]

Hello,

Il n'y a aucune brèche, je te l'assure. Il n'y a aucun acces FTP sur cette machine et le seul acces et bien sécurisé/monitoré. Donc aucun soucis sur la sécurité de la machine. D'ailleurs pour cracker OS X il peut se lever de bonheur des hacker plus baleize que lui n'ont pas reussi sans accès sur la machine et ça il ne l'a pas.

Non on a simplement a faire a quelqu'un qui a récupéré l'adresse d'une dizaine de page et les pourries... Les posts disparaissant sont un comportement erratique suivant le nettoyage. Quand au lockage je n'en voie pas.

Maxime

[Katayama]

Et désactiver le mode invité pour 1 semaine ? Sans que ça soit définitif ?

[XX69]

je ne peux pas décider ça, c'est Arnaud et lui seul qui le peux.

Maxime

[Arnaud]

Ah ces rats de spammeurs
Ils ont même été jusqu'à profiter de mon absence !
Je regarde une parade demain.

La version phpBB3 est en cours de réalisation en local mais pour l'instant elle n'est pas prête.

Arnaud

[Arnaud]

Ce ne serait pas par hasard ces pages qui sont touchées ? :
http://www.google.fr/search?q=+site:htt ... l&filter=0

Si c'est le cas merci encore Google... le "noindex" c'est pas pour les chiens !!!

Il faudrait me laisser un spam pour que je regarde.