Magazine

Carpet bombing...

Publié le 17 avril 2009 par Sid

B52 bombs drop

C

omme avec l'email, un des premiers soucis qui se posent à un auteur de blog, c'est le spam. Vous allez évidemment avoir à faire face au spam dans les commentaires ce qui se gère généralement bien à coups de captchas plus ou moins efficaces et un peu de tri pour éliminer les pollueurs artisanaux. Ensuite, vous allez avoir le spam des trackbacks quand ils sont autorisés, tout particulièrement en découverte automatique. Là encore, on peut faire des choses, mais ça se contourne aussi facilement que ça se gère bien, même à la main.

Et puis vous avez les pollueurs de logs. Puisque globalement, ce qui intéresse nos spammeurs, c'est laisser des liens clickables un peu partout, ils vont jouer sur l'égo du blogueur en collant des traces aux quatres coins de l'interface de consultation des referrers. C'est du grand classique. Mais depuis quelques temps, j'ai pu noter l'apparition d'une pratique assez étrange, voire cocasse, que j'ai nommée le "Referrer Carpet Bombing"...

Ce que j'entends pas ce petit nom, c'est une pratique dont j'ai du mal à capter l'intérêt. Un truc qui donne ce genre de chose comme champ referrer :

http://kum-kum.com/the-christopher-parkening-guitar-method-i
volume-1-guitar-technique.html, http://sonig.xorg.pl/when-did
-b/kamsutra-poses-with-pict2.html, http://fashion.
coolerthanthou.net/2009/02/the-man-bra-its-not-just-girls-who
-needs-support-you-know-.html, http://fypoq.xorg.pl/dwaynes-
sy/activeaid/pictures-of-a-uncercumsi37.html, http://www.
horses.co.uk/redirect/equestriancupid/, http://allride.
skynetblogs.be/post/6734361/scraping-lowrider-truck,
http://osime.xorg.pl/blog-vlad/pictures-on-female-perio75.
html, http://www.itouchthemes.com/wallpaper/faces_2-
wallpapers.html, http://emixu.xorg.pl/maselino-m/naked-
chinese-movie.html, http://www.chauincontinencia.com.ar/
local-cgi/ToForo/index.cgi?reply=13032, http://www.
clubpenguincheatsbc.com/?p=3881, http://markfjohnson.net/
blog/2009/2/17/clear-out-the-noise-jesuit-style.html, 
http://orgmonkey.net/?p=495, http://kevinelliott.net/blogs/
kindlekevin/2009/02/24/kindle-2-unboxing/, http://sid.
rstack.org/blog/index.php/324-les-bras-m-en-tombent

Étrange n'est-ce pas ? Au début, j'ai penché pour un problème au niveau du parser, mais il s'avère que ça sort tel quel des logs de Apache :

194.8.75.XXX - - 17/Apr/2009:08:47:52 +0200 "GET /blog/
index.php/324-les-bras-m-en-tombent HTTP/1.1" 200 40727  
"http://kum-kum.com/the-christopher-parkening-guitar-method-i
volume-1-guitar-technique.html, http://sonig.xorg.pl/when-did
-b/kamsutra-poses-with-pict2.html, http://fashion.
coolerthanthou.net/2009/02/the-man-bra-its-not-just-girls-who
-needs-support-you-know-.html, http://fypoq.xorg.pl/dwaynes-
sy/activeaid/pictures-of-a-uncercumsi37.html, http://www.
horses.co.uk/redirect/equestriancupid/, http://allride.
skynetblogs.be/post/6734361/scraping-lowrider-truck,
http://osime.xorg.pl/blog-vlad/pictures-on-female-perio75.
html, http://www.itouchthemes.com/wallpaper/faces_2-
wallpapers.html, http://emixu.xorg.pl/maselino-m/naked-
chinese-movie.html, http://www.chauincontinencia.com.ar/
local-cgi/ToForo/index.cgi?reply=13032, http://www.
clubpenguincheatsbc.com/?p=3881, http://markfjohnson.net/
blog/2009/2/17/clear-out-the-noise-jesuit-style.html,
http://orgmonkey.net/?p=495, http://kevinelliott.net/blogs/
kindlekevin/2009/02/24/kindle-2-unboxing/, http://sid.
rstack.org/blog/index.php/324-les-bras-m-en-tombent"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2;
Maxthon)"

Ça vient toujours de la même adresse IP, avec le même User Agent qui semble indiquer l'utilisation du navigateur MyIE2. La dernière URL de la liste est systématiquement celle sur laquelle se faire la requête chez moi. Les URLs listées n'ont pas, ou peu, de rapport entre elles et il ne semblent pas liées non plus. Certaines correspondent bien à ce qu'on attend d'un spam, avec du pr0n et de la vente de médocs, d'autres semblent un peu perdues au milieu de tout ça. Enfin, c'est un peu léger pour un DoS visant la taille des journaux...

Tout ça pour dire que comme je le disais plus haut, que ça me laisse plutôt perplexe. Je ne comprends pas en effet pas l'intérêt de la chose. Même le plus con des gestionnaires de log va au mieux pêter un lien bancal qui va envoyer votre navigateur en 404. À moins qu'il existe sur le marché un soft assez con pour traiter ce genre d'ignominie et en faire autant de liens clickables qu'elle contient d'URL, mais même avec mon peu de foi dans la nature humaine, j'ai du mal à y croire...

Mais je ne désespère pas de comprendre le fin mot de l'histoire. Qui sait, je pourrai peut-être en faire une conf à Black Hat...

Et comme vous avez eu la patience de me lire jusqu'au bout, vous noterez la sortie d'un challenge de reverse ingénieux à l'occasion du SSTIC 2009. Quelques lots à gagner parmi lesquels un Samsung NC10, un iPod Touch, un disque dur externe ou encore une brosse a dents d'occasion ayant frotté les gencives de l'auteur.

Bonne chance à tous !


Retour à La Une de Logo Paperblog

A propos de l’auteur


Sid 341 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte