You are here

Bloccare spammer - analisi indirizzo IP e range IP

Inviato da giovanninews on Mar, 15/01/2013 - 15:49

Bloccare spammer e servizi anonimi Ho fatto passare più di un mese prima di parlare ancora di spammer e spambot; ho voluto vedere come gli spammer si comportavano ed ho nel frattempo introdotto lo strumento online offerto da Robtex.com.

E' evidente che la serie di articoli fatti su come bloccare spammer, spambot e Xrumer, ha  avuto il suo effetto. Gli spammer si sono scatenati ed hanno eseguito  spambot infiniti sul mio sito web; penso che hanno tentato di buttare giù il server con innumerevoli attacchi.

Il dominio giovanninews.com è già bruciato per altri motivi; tanto vale utilizzare il dominio per una lotta sempre più concreta allo spam, indicando man mano tecniche diverse per bloccare lo spam.

Una notte ho avuto circa 1.300 attacchi spam ripetuti, poi gli attacchi spam sono stati 1080 provenienti dall' IP 93.182.173.9, come da immagini riportate. Poi ancora oltre 5.000 attacchi, provenienti da un altro IP che però apparteneva alla stessa C-Network.

E' inoltre evidente che il servizio di hosting non ha implementato delle blacklist, almeno per me o per l' hosting condiviso dove il sito web è hostato.

Il numero dei tentativi di accesso dello spammerGli spambot naturalmente non sono riusciti ad entrare per i blocchi implementati sul sito; ma perchè eseguire migliaia di attacchi ripetitivi a notte quando per postare un commento spam potrebbero esserne sufficienti 1 o 2 ? E' per questo che penso che volevano buttare giù il sito web.

Il log accessi dello spammerNegli articoli precedenti ho detto che era inutile bloccare gli indirizzi IP in quanto sarebbero stati centinaia di migliaia e che la soluzione migliore poteva essere quella di adottare un servizio esterno per il controllo IP o email.

Ma quando un sito web è preso di mira è forse necessario bloccare gli indirizzi IP. E, se gli indirizzi IP da bloccare sono migliaia, la scelta più opportuna potrebbe essere quella di bloccare interi range IP o intere C-Network.

Sappiamo come fare, ma prima di farlo e per evitare di bloccare tanti utenti ignari, è utile studiare un pò le C-Networks relative; in questo modo possiamo implementare delle nostre blacklist.

Il dettaglio dello spammerIl sistema utilizzato per la pubblicazione dei contenuti è indifferente, purchè sia basato su un server Apache; funziona allo stesso modo se il sito web è in puro PHP o se si utilizzano cms come Drupal, Joomla o Wordpress. Se siamo in PHP è necessario implementare in .htaccess il range IP da bloccare, se abbiamo un cms, oltre che sul file .htaccess, possiamo contare sui servizi offerti dal cms.

Di seguito mi riferirò a Drupal perchè è quello che uso. Per identificare la C-Network da bloccare e quindi il range IP da bloccare ci viene in aiuto il sito web Robtex che è un buon analizzatore di reti.

Nel mio caso, mediante l' analisi con Robtex dell' IP  93.182.173.9 prima descritto, vediamo che l' IP  è già inserito da Project Honeypot in una blacklist di comment spammer.

La rete dello spammerLa rete è quella di ipredator.se e, una rapida ricerca sul web, ci dice che ipredator.se è un servizio web svedese che offre un servizio anonimo VPN. In pratica ipredator.se offre una connessione anonima mascherando o nascondendo l' IP di chi lo usa. In questo caso è evidente che è molto utilizzato da spammer, spambot e utenti XRumer.

La Network utilizzata da ipredator.se è quella che troviamo in Route, e cioè la 93.182.128.0/18. Questa Network racchiude 64 C-Networks che vanno dalla 93.182.128 alla 93.182.191; ognuno di essi indirizza 256 IP, quindi avremo 64 x 256 e cioè 16.384 IP.

Se dobbiamo bloccarli proprio tutti, lo vediamo con l' analisi di ogni singola C-Network, verificando se in essi vi è un servizio ipredator.se. Trovando che in ogni C-Network è spesso più volte presente un servizio ipredator.se, decido di bloccare tutta la Network, cioè il range 93.182.128.0/18 che indirizza appunto 16.384 indirizzi IP.

Da un servizio IP anonimo che non controlla se il servizio è utilizzato da spammer, non può arrivarci niente di buono per il nostro sito. Visto che non abbiamo niente da nascondere, chi è senza macchia si faccia vedere, non utilizzando almeno sul nostro sito un servizio anonimo.

In Drupal sembra che il blocco del range non funziona; è possibile farlo solo per singolo IP o per nome utente, non so con gli altri cms. Blocco quindi il range IP mediante CPanel, lo strumento offerto dal servizio di hosting. Chi usa PHP e non ha CPanel, può bloccare il range IP da htaccess inserendo, alla fine del file, le seguenti istruzioni:

<Files 403.shtml>
order allow,deny
allow from all
</Files>
deny from 93.182.128.0/18

<< Pagina precedente