Ars Longa, Vita Brevis » спам

Обход плагина WP Hashcash

Vladimir — Mon, 26 Dec 2011 05:43:11 +0000

Не так страшен JavaScript, как его малюют…

WP Hashcash — очередной плагин WordPress для борьбы со спамом. Принцип работы основывается на том, что спам-боты не умеют исполнять JavaScript. Идея в том, что если пользователь открыл сайт из браузера, браузер выполнит некоторый хитрый код JavaScript, и реузльтат работы этого скрипта будет передан назад на сервер в качестве доказательства «человечности» комментатора.

Недостаток этого подхода заключается в том, что используемый JavaScript является довольно-таки простым; как следствие, его можно «понять» даже из PHP-скрипта.

Пример кода JavaScript, генерируемого плагином:

Такой JavaScript весьма похож на PHP Как следствие, идея обхода плагина заключается в том, чтобы преобразовать JavaScript в PHP и выполнить получившийся PHP-код.

Итак:

В PHP нет ключевого слова var (строго говоря, оно там есть, только имеет другое назначение).
В PHP несколько другой синтаксис объявления массива
Идентификаторы в PHP начинаются с доллара
Операция сдвига выглядит как >>, а не >>>.
В PHP нет классов Array, String, но никто не мешает их написать

Наша задача состоит в преобразовании кода, приведённого выше, в нечто подобное:

Это достигается таким набором правил str_replace():

$x = array(
'wphc_data' => '$wphc_data',
'var $' => '$',
'var ' => '$',
'];' => ');',
'= [' => '= array(',
'new Array($wphc_data.length)' => 'array()',
'$wphc_data.length' => 'count($wphc_data)',
' i<' => ' $i<',
'[i]' => '[$i]',
'i++' => '$i++',
'>>>' => '>>',
'a[$i] =' => '$a[$i] =',
'String.' => '',
'eval' => '',
"a.join('')" => 'join("", $a)',
);

$s = str_replace(
array_keys($x),
array_values($x),
$s
);

При желании правила можно попытаться оптимизировать, но мне было лень — скрипт ломался на коленке за 10 минут.

Реализация функции fromCharCode:

function fromCharCode($a, $b, $c, $d)
{
return chr($a) . chr($b) . chr($c) . chr($d);
}

После замены результат нужно вычислить при помощи eval(). После чего получим такой результат:

function wphc_compute(){return 43448 * 43448 + 75878; } wphc_compute();

Как можно заметить, этот код является одновременно и PHP-кодом, и JavaScript-кодом.

Следующий шаг —

$s = str_replace('wphc_compute();', '', $s);
eval($s);
echo wphc_compute(), "\n";

Результатом выполнения будет число 1887804582.

Как видим, для обхода такой простой защиты не нужен даже интерпретатор JavaScript

При использовании материалов блога наличие активной не закрытой от индексирования ссылки на источник обязательно.

Ставим спам в комментариях на службу людям

Vladimir — Sat, 06 Aug 2011 04:48:20 +0000

Автоматическое отправление автоматического спама на Stop Forum Spam

Я давно получаю по несколько тысяч спам-комментариев в день (не то, что мне он мешает — система его отсеивает полностью автоматически) и, как следствие, давно думаю о том, как заставить этот спам служить людям.

Начиналось всё созданием чёрных списков типа DNSBL (сюда попадали IP-адреса спамеров) и URIBL (а сюда — рекламируемые домены), но на раскрутку очередного чёрного списка (а также на его поддержание) банально не было ни сил, ни времени.

Закончилось всё тем, что я прекратил заниматься велосипедостроительством, зарегистрировался на Stop Forum Spam и теперь отсылаю весь полученный спам туда. Хотя я не во всём согласен с SFS, положительным моментом является то, что списки спамеров мониторятся Spamhaus (пример 1, пример 2). Хотя Spamhaus о себе тоже много думает (блокировать почту на основании того, что с данного IP-адреса идёт форумный спам — бред), тем не менее, у Spamhaus больше шансов прикрыть спамера, чем у простого блоггера.

На этом лирическое отступление закончено, далее идёт рассказ о том, как автоматически сообщать об автоматическом спаме в Stop Forum Spam, ибо чем больше отчетов они получат, тем быстрее спамер будет остановлен.

Идея, на которой строится реализация метода, абсолютно не нова, но эффективна.

Шаг первый. Регистрация на SFS и получение API-ключа.

Шаг второй. Создаём в каталоге с файлами WordPress такой простенький файл (например, wp-comments-post2.php):

require_once dirname(__FILE__) . 'wp-comments-post2.php';

Шаг третий. Добавляем в comments.php используемой темы липовую форму комментариев. Например, такую:

<div style="display: none; left: -10000px; top: -10000px;">
<p><strong>Пожалуйста, не используйте данную форму комментирования — она исключительно для спамеров.</strong></p>
<form method="post" action="/wp-comments-post.php">
<p class="comment-form-author"><label>Имя</label> <input type="text" size="30" value="" name="author"/></p>
<p class="comment-form-email"><label>E-mail</label> <input type="text" size="30" value="" name="email"/></p>
<p class="comment-form-url"><label>Сайт</label><input type="text" size="30" value="" name="url"/></p>
<p class="comment-form-comment"><label>Комментарий</label><textarea rows="8" cols="45" name="comment"></textarea></p>
<p class="form-submit">
<input type="submit" value="Отправить комментарий" id="submit" name="submit"/>
<input type="hidden" id="comment_post_ID" value="" name="comment_post_ID"/>
<input type="hidden" value="0" id="comment_parent" name="comment_parent"/>
</p>
</form>
</div>

Шаг четвёртый. Меняем нормальную форму комментирования. Всё, что требуется — изменить action формы комментирования с /wp-comments-post.php на /wp-comments-post2.php.

Если для создания формы комментирования используется новомодная функция comment_form() изменить action можно так:

ob_start();
comment_form();
$s = ob_get_clean();
$s = str_replace('/wp-comments-post.php', '/wp-comments-post2.php', $s);
echo $s;
?>

Шаг пятый. Добавляем кусок кода в файл functions.php используемой темы:

Вместо API-ключ Stop Forum Spam подставляем свой API-ключ.

Вместо возни с cURL можно использовать API-функцию WordPress wp_remote_post().

Шаг шестой. Радуемся жизни

Обнаружение ловушек Project Honey Pot

Vladimir — Fri, 18 Mar 2011 00:39:24 +0000

Использование непродуманности реализации ловушек для их обнаружения

Project Honey Pot — web-сервис, предоставляющий сеть ловушек (honeypots), встраиваемых в сайты, для сбора информации об IP-адресах, используемых для сбора адресов email (email harvesting) в целях рассылок спама, оставления спам-комментариев на форумах и блогах, проведения атак на сайты и прочей нежелательной активности.

Начинание, безусловно, полезное, но реализация, к сожалению, подводит.

Основная проблема Project Honey Pot состоит в том, что они не пытаются скрыть свои ловушки. Например, если известно примерное время попадания почтового сервера в их чёрный список, достаточно получить список доменов, на которые отправлялась почта и поискать их в Google. Так как спамеры очень часто используют заголовок письма вида username@example.com, blah blah blah, ловушка сразу становится очевидной:

Аналогично с самими ловушками, которые пользователи проекта расставляют на своих сайтах: реализация такова, что нехороший пользователь может легко подделать IP-адреса, подставляя других пользователей. Иными словами, добавить конкурента в чёрный список проще простого. Но это не интересно

Гораздо интереснее было найти ловушки для спама (spamtraps). Метод, кстати, очень простой: устанавливается тысяча-другая ловушек на свой сайт с общими поддоменами и периодически просматривается. В результате мы получаем тысячу-другую адресов ловушек. Но особенность проекта такова, что Project Honey Pot получает от пользователя не конкретный email-адрес, а весь домен (в том плане, что пользователи жертвуют проекту MX-записи домена). В результате за день получается неплохой список доменов с ловушками. Дальше дело техники: анализируются MX-записи этих доменов, получаются их IP-адреса. В результате получится очень небольшой список (по понятным причинам я его приводить не буду) адресов серверов ловушек проекта плюс несколько мусорных записей.

Отличить почтовый сервер проекта очень легко:

он поддерживает pipelining;
не выполняет никаких проверок хоста, с ним соединяющегося;
не выполняет никаких проверок отправителя (MAIL FROM);
не является открытым релеем, но согласен принять почту для любого из доменов, пожертвовавших свои MX-записи.

Последняя особенность дискредитирует всю систему, ибо достаточно пары доменов для того, чтобы определить все адреса проекта.

Чёрный список IP блогоспамеров

Vladimir — Tue, 09 Nov 2010 19:53:16 +0000

Страна должна знать своих героев в лицо!

По примеру Jeff Starr, которого я давно и с удовольствием читаю, я решил выложить список IP-адресов тех людей и ботов, которые были замечены в спаме в комментариях.

Критерий отбора простой: создано несколько honey pot’ов специально для спамеров. Спамеры в них размещают свой спам, светят свой IP и рекламируемые сайты.
IP проверяется по чёрным спискам: открытые прокси, известные спамеры, члены ботнетов и т.п. Если спамер найден в таком списке, он сразу добавляется в чёрный список. Аналогично с засвеченными адресами.

Буквально за сутки получился неплохой список.

IP-адреса спамеров:

41.190.16.17
41.208.14.4
46.109.63.131
46.118.0.137
61.115.229.74
61.145.121.124
61.32.222.13
71.252.64.51
72.254.128.201
72.73.25.190
74.81.65.83
77.121.0.28
77.244.212.231
77.245.113.128
77.87.173.97
77.87.32.102
77.93.2.81
78.138.171.164
78.159.99.148
78.37.199.222
78.46.111.152
79.142.66.55
79.142.68.99
80.240.220.20
80.251.113.51
80.251.113.52
80.67.13.157
80.67.13.196
81.90.10.80
81.90.9.102
81.90.9.170
82.137.200.6
83.21.199.161
83.21.222.157
83.21.97.99
83.237.242.196
83.246.152.130
83.9.124.249
83.9.207.5
83.9.210.105
83.9.212.50
83.9.237.80
84.253.83.66
87.118.100.70
87.118.94.70
87.207.64.195
87.248.178.75
89.149.244.89
89.208.11.117
89.208.32.87
89.223.47.23
89.254.208.205
90.151.88.62
91.121.18.12
91.201.66.124
91.201.66.204
91.201.66.205
91.201.66.28
91.201.66.61
91.210.106.105
91.212.226.20
91.214.45.107
91.214.46.223
91.214.97.91
91.77.77.106
92.241.164.105
92.241.165.236
92.241.168.206
92.241.168.209
92.241.169.175
92.241.169.176
93.116.183.14
93.178.197.195
93.80.15.151
93.91.200.146
94.136.160.108
94.142.130.129
94.142.130.194
94.142.131.233
94.142.133.185
94.142.134.144
94.142.134.213
94.142.134.221
94.159.162.182
94.159.247.99
94.179.150.186
94.181.131.44
94.23.192.21
94.75.118.123
94.75.247.93
95.133.77.65
95.134.108.195
95.135.49.203
95.139.152.188
95.154.120.230
95.168.183.233
95.211.0.70
95.211.127.16
95.211.8.146
95.211.9.167
95.215.0.136
95.215.0.200
95.215.0.207
95.215.36.99
95.25.128.66
95.31.16.116
95.72.247.215
109.106.136.119
109.165.82.94
109.184.179.114
109.184.234.110
109.196.184.8
109.196.185.157
109.230.217.208
111.1.32.23
111.160.68.26
111.160.70.197
111.160.70.199
111.161.3.215
111.161.3.231
116.224.30.159
118.122.85.216
118.96.11.103
119.70.40.102
123.125.156.134
123.125.156.206
125.208.246.76
173.203.78.165
173.204.85.10
173.234.54.189
173.236.70.210
173.244.212.36
174.120.202.98
178.187.136.230
178.93.175.27
180.149.49.114
184.82.95.178
187.49.175.148
188.112.246.247
188.114.42.253
188.126.68.42
188.17.113.189
188.72.227.124
188.72.227.92
188.72.227.97
188.92.74.40
188.92.75.43
189.4.114.137
193.105.210.11
193.105.210.174
193.105.210.32
193.106.136.33
193.106.136.36
193.106.136.62
193.169.87.153
194.146.197.6
194.8.75.44
195.159.93.143
195.191.54.176
195.200.193.156
195.2.240.68
195.2.240.70
195.229.241.178
201.20.18.165
202.108.50.75
205.213.195.70
209.202.78.97
210.13.77.66
211.138.124.202
212.138.113.15
212.235.107.163
212.48.214.126
212.55.131.173
212.95.32.221
212.95.54.70
213.0.89.10
213.108.2.6
213.138.93.238
213.147.207.244
213.5.128.158
213.5.128.226
213.5.128.236
213.5.129.238
213.5.132.9
213.5.66.16
213.5.67.185
213.5.67.4
213.5.69.179
213.5.71.163
216.108.231.238
216.125.196.57
220.235.88.68
221.122.60.237
221.194.132.229
222.165.133.198

Сайты, которыми спамили (переходить по ним строго не рекомендуется):

.000site.ru
.08vheim.tk
.0uf4xpg.tk
.1ucoo0k.tk
.2h5qu4m.tk
.6buqmdx.tk
.800mgmotrinfou.beep.com
.aaamor.com
.adtan.com
.a.janek.ru
.abc-print.at.ua
.allbestcasino.com
.altermedicine.ru
.amrales.co.cc
.angelfire.com
.anglersfishery.com
.antalte.co.cc
.aparadekto.com
.arms.good-choise.com
.art.4web.pl
.art4web.pl
.asuronre.somee.com
.avandiamexicofou.beep.com
.avandiavisionfou.beep.com
.avermala.co.cc
.avidvdplayer.com
.avi.vg
.bactrimsulfafou.beep.com
.bank1.pl
.bankiem.pl
.benazeprildogfou.beep.com
.bernarda.co.cc
.bestcasinos.webs.com
.best-uggs.ru
.bitovaya.com.ua
.boniva150mgfou.beep.com
.bonivafosamaxfou.beep.com
.box.net
.caduetdosagefou.beep.com
.caffeinedrugfou.beep.com
.cafwardfast.co.cc
.candrostai.co.cc
.casinointernetblog.com
.cfxoojesvghu.com
.chez.com
.cialiseuropefou.beep.com
.ciufcia.pl
.comingcelexafou.beep.com
.contactemailform.com
.coregcrcostfou.beep.com
.coumadinstopfou.beep.com
.countconthe.co.cc
.csm.com
.dealtoworld.com
.derchefe.co.cc
.diamand.com.nu
.direct2b.com
.dramles.co.cc
.dvjr34v.tk
.epfjyhveeysi.com
.ermacala.co.cc
.evon9ipy.narod.ru
.ewofjocyjkot.com
.fd3la.com
.fin-on.ru
.forum-kredytowe.pl
.fraumila.co.cc
.freecasinogames2010.webs.com
.free-pc-soft.ru
.frelma.co.cc
.frenchbulldogpuppiesforsale.info
.gedicdi.co.cc
.genericwpthemes.com
.grotogorod.ru
.grumaka.co.cc
.gsmlab.pl
.habraro.co.cc
.hiramteel.chez.com
.ig0r7tg.tk
.ikvintera.co.cc
.instantempo-bhsf.it
.insurance-costs.info
.itobal.co.cc
.itphodan.co.cc
.kamagrapharma.com
.kaspersky-key.ucoz.lv
.kieszen.milledwa.pl
.kinderlove.ru
.kitinsurance.info
.ki-tolko-tut.info
.kitourpick.co.cc
.kj-smotri.info
.klikai-ajdbx.co.cc
.klikai-caquf.co.cc
.klikai-czkos.co.cc
.klikai-diewo.co.cc
.klikai-dyswz.co.cc
.klikai-ecutr.co.cc
.klikai-eqdvd.co.cc
.klikai-ffath.co.cc
.klikai-fmdlm.co.cc
.klikai-gfdib.co.cc
.klikai-hmaoz.co.cc
.klikai-hzhgi.co.cc
.klikai-imxej.co.cc
.klikai-iolqb.co.cc
.klikai-jbrdc.co.cc
.klikai-jmcsw.co.cc
.klikai-kijkr.co.cc
.klikai-koxca.co.cc
.klikai-ldsuo.co.cc
.klikai-litxd.co.cc
.klikai-louqk.co.cc
.klikai-mndhz.co.cc
.klikai-nowxj.co.cc
.klikai-nukei.co.cc
.klikai-osqjf.co.cc
.klikai-ozqet.co.cc
.klikai-pqifb.co.cc
.klikai-pvayj.co.cc
.klikai-qnald.co.cc
.klikai-qzeol.co.cc
.klikai-rgxpp.co.cc
.klikai-rhkyt.co.cc
.klikai-rkuoh.co.cc
.klikai-rphab.co.cc
.klikai-rwywy.co.cc
.klikai-tgxwb.co.cc
.klikai-tjwox.co.cc
.klikai-ugdcp.co.cc
.klikai-utvqd.co.cc
.klikai-wcxsd.co.cc
.klikai-whtjb.co.cc
.klikai-wnqyo.co.cc
.klikai-xkaay.co.cc
.klikai-xkoqw.co.cc
.klikai-xzcln.co.cc
.klikai-yyipl.co.cc
.krwi0jq.tk
.kuznec-rostov.ru
.larancegow4.narod.ru
.levitrabuyonline.com
.limtioci.co.cc
.lipetsk-site.ru
.look-insurance.info
.lotidam.co.cc
.luxonopulso.com.br
.magazin-diski-shiny.ru
.magazin-shiny-diski.ru
.magrenar.com
.malls72.ru
.mamrela.co.cc
.masterbrass.ru
.maxim-axenov.polubomu.ru
.maximumvip.com
.metrocc.ru
.mielno.pl
.mietwagenmallorcaspanien.com
.milmita.co.cc
.monkredit.com
.moskvadosug000.tk
.moskvadosug001.tk
.moskvadosug002.tk
.moskvadosug003.tk
.moskvadosug004.tk
.moskvadosug005.tk
.moskvadosug006.tk
.moskvadosug007.tk
.moskvadosug008.tk
.moskvadosug009.tk
.moskvadosug010.tk
.moskvadosug011.tk
.moskvadosug012.tk
.moskvadosug013.tk
.moskvadosug014.tk
.moskvadosug015.tk
.moskvadosug016.tk
.moskvadosug017.tk
.moskvadosug018.tk
.moskvadosug019.tk
.moskvadosug020.tk
.moskvadosug021.tk
.moskvadosug022.tk
.moskvadosug023.tk
.moskvadosug024.tk
.moskvadosug025.tk
.moskvadosug026.tk
.moskvadosug027.tk
.moskvadosug028.tk
.moskvadosug029.tk
.moskvadosug030.tk
.moskvadosug031.tk
.moskvadosug032.tk
.moskvadosug033.tk
.moskvadosug034.tk
.moskvadosug035.tk
.moskvadosug036.tk
.moskvadosug037.tk
.moskvadosug038.tk
.moskvadosug039.tk
.moskvadosug040.tk
.moskvadosug041.tk
.moskvadosug042.tk
.moskvadosug043.tk
.moskvadosug044.tk
.moskvadosug045.tk
.moskvadosug046.tk
.moskvadosug047.tk
.moskvadosug048.tk
.moskvadosug049.tk
.moskvadosug050.tk
.moskvadosug051.tk
.moskvadosug052.tk
.moskvadosug053.tk
.moskvadosug054.tk
.moskvadosug055.tk
.moskvadosug056.tk
.moskvadosug057.tk
.moskvadosug058.tk
.moskvadosug059.tk
.moskvadosug060.tk
.moskvadosug061.tk
.moskvadosug062.tk
.moskvadosug063.tk
.moskvadosug064.tk
.moskvadosug065.tk
.moskvadosug066.tk
.moskvadosug067.tk
.moskvadosug068.tk
.moskvadosug069.tk
.moskvadosug070.tk
.moskvadosug071.tk
.moskvadosug072.tk
.moskvadosug073.tk
.moskvadosug074.tk
.moskvadosug075.tk
.moskvadosug076.tk
.moskvadosug077.tk
.moskvadosug078.tk
.moskvadosug079.tk
.moskvadosug080.tk
.moskvadosug081.tk
.moskvadosug082.tk
.moskvadosug083.tk
.moskvadosug084.tk
.moskvadosug085.tk
.moskvadosug086.tk
.moskvadosug087.tk
.moskvadosug088.tk
.moskvadosug089.tk
.moskvadosug090.tk
.moskvadosug091.tk
.moskvadosug092.tk
.moskvadosug093.tk
.moskvadosug094.tk
.moskvadosug095.tk
.moskvadosug096.tk
.moskvadosug097.tk
.moskvadosug098.tk
.moskvadosug099.tk
.mouberozbvji.com
.multiportalpi7ru.ourtoolbar.com
.najgraj.pl
.naturescoloncleanse.org
.net.net
.netvibes.com
.newss.com.nu
.nlzzshqbrour.com
.nmoeszbqtfxr.com
.npjuhussgzjc.com
.nsp-biznes.com
.nsyndwghcpxd.com
.onlinecasino55.com
.ontemre.co.cc
.oponymozgowe.pl
.oupvkxunkazp.com
.p41yuhj.tk
.pasupppeg.co.cc
.pauleenw4.narod.ru
.peekapaysite.com
.personaltrainerexpert.com
.petitelectromenager.eu
.pickholstu.co.cc
.piter-sauna.ru
.pokerspielen1.com
.pozycjonowanie.lagata.pl
.pozycjonowanie-lodz.com
.prosperschell.chez.com
.qkqurrayimhb.com
.qtbmshwunypi.com
.rabota7979.narod.ru
.rachatdecredit.net
.radiologytechnicianguide.com
.realcazinoz.com
.reklamowy.biz
.reliefinn.com
.riocrapcing.co.cc
.roskelleyv4a.narod.ru
.rtvshop.waw.pl
.russati.narod.ru
.ryreyre.ehoh.net
.salatina.co.cc
.seewrwe.mitsu-hide.com
.sembneci.co.cc
.senior.pl
.sex-paradise.ru
.shampes.com
.shebopcosmetics.com
.shinway.ru
.sirwetpx6.narod.ru
.smashflash.com
.sobatklikm.com
.svinvestment.blogspot.com
.szm.com
.t35.com
.t71n281.tk
.tanie-nieruchomosci.eu
.taobao.com
.tat4dwn.com
.text-jobs.ru
.tggfhcedqmzw.com
.the-dentist.com
.thenewfoundry.com
.tinnitusrecovery.com
.tlumaczenia-kmk.pl
.topim.aq.pl
.ubrimala.co.cc
.uilprkmxvlbx.com
.umralsanda.co.cc
.undora.co.cc
.unknown.ru
.unkovela.co.cc
.urkovska.co.cc
.utenta.co.cc
.uticainsurance.info
.uxtorla.co.cc
.vemalde.co.cc
.vocer.ru
.voda-vor.ru
.vplcoltztbwo.com
.warlabrecords.com
.weqqwrt.edo-jidai.com
.winkingsize.com
.yogzkovcfmdm.com
.yourwincasino.com
.ytrtwe.choitoippuku.com
.zackspornlinks.com

Список можно добавить в черный список комментариев WordPress.

Надеюсь, списки кому-нибудь помогут

Опубликовано в рамках программы «Неделя без капчи»

Неделя без капчи

Vladimir — Sun, 07 Nov 2010 23:30:57 +0000

На блоге тестируется новый плагин для борьбы со спамом

Волевым решением убрал капчу с блога. Я пришел к выводу, что капчи — это зло. На данный момент проводятся испытания нового плагина для борьбы со спамом.

Идея, лежащая в основе плагина, не нова: я её озвучивал два с половиной года назад: использование DNSBL для борьбы со спамом.

Тогда у меня не дошли руки до написания полноценного плагина WordPress, да и желания особого не было. Сейчас же по работе пришлось столкнуться с DNSBL, в результате чего родился плагин.

Плагин использует как DNSBL, так и URIBL. Первые используются для фильтра IP комментатора (есть хороший такой сервис blogspambl.com), вторые — для анализа ссылок внутри комментария.

Пока эффективность работы плагина составляет 100% (эх, где бы спамеров взять?)

Поживём — увидим.

Борьба со спамом на уровне фильтра пакетов

Vladimir — Sun, 26 Jul 2009 02:55:41 +0000

Жесткий, но эффективный метод борьбы со спамом в комментариях

Два месяца назад я писал об одном очень жестком методе борьбы с последствиями установки плагина Time spent on blog. Теперь этот же самый метод применяем на спам-ботах, которые безуспешно пытаются оставить спам в комментариях.

Отвлекусь от темы и отвечу на вопрос о необходимости применения жестких мер против спамеров: во-первых, они генерируют много паразитного трафика (трафик не бесплатен), во-вторых, они генерируют лишнюю нагрузку на сервер, в-третьих, вода камень точит — любую капчу можно подобрать.

Предварительная настройка:

iptables -N spammers
iptables -A INPUT -j spammers

Фрагмент процесса, который запускается кроном (например, раз в час):

# Лог доступа (IP идёт первым полем)
PATH=/var/log/access.log

# Получаем список забаненных спамеров
ips=`iptables -S | grep "^-A spammers " | awk '{ print $4 }' | sed 's/\/32//g'`

# Ищем в логах спамеров (предполагается, что возвращается код ошибки 500,
# если капча введена неверно. Если капча была введена неверно больше 10 раз
# с одного и того же IP, то считаем, что это спамер.
spammers=`\
grep -E '"POST /wp-comments-post.php HTTP/1.[01]" 500' $PATH | \
awk '{ print $1 }' | \
sort | \
uniq -c | \
awk '{ if ($1 > 10) { print $2; }}' \
`

# Ищем новые жертвы и добавляем их в список
echo "$spammers" | grep -v -F "$ips" | xargs -l -r -I {} iptables -A spammers -s '{}' -j DROP

В результате всё очень здорово: с учётом того, что на сервере крутятся несколько весьма посещаемых сайтов, нагрузка значительно падает. В связи с чем возникает вопрос: какова же доля паразитного трафика в Internet?

Недостатки метода: требуется root-доступ к серверу и хорошее знание Linux (чтобы понять, что делает скрипт).
Достоинства: спамеры идут лесом, уменьшается доля паразитного трафика и нагрузка на сервер.

iarq72g98h

Спам в трэкбэках

Vladimir — Thu, 04 Dec 2008 07:36:45 +0000

Когда же спамеры вымрут?

В последнее время я получаю спам в трэкбэках такого вида:

<strong>tjztbtnq...</strong>

tjztbtnq...

Спам приходит через TOR и содержит URL вида http://www.google.com/search?q=gjyyljra.

В приницпе, бороться с ним легко (в плане автоматизации), но мне интересно: может быть, кто-нибудь сталкивался с другим видом спама в трэкбэках или пингбэках? Уж если автоматизировать процесс, так по полной!

SJ CAPTCHA Lite: невидимая защита от спама

Vladimir — Sat, 06 Sep 2008 07:14:33 +0000

Спаму не место на блоге!

Собрав большую статистику по спам-ботам, я решил несколько видоизменить плагин SJ CAPTCHA — причем в сторону упрощения.

Причин тому несколько:

Проверка FCrDNS оказалась чрезмерно эффективной: да, она спасает от спам-ботов. Но, к сожалению, из-за большого радиуса кривизны рук некоторых провайдеров, которые не могут нормально PTR-записи прописать (или поставить им в соответствие A-записи), отсеиваются и вполне нормальные пользователи. Что обидно.
Проверка A и MX-записей доменов, указанных в email, оказалась не очень эффективной: большинство спамеров хотя и используют несуществующие адреса, но указанные домены в природе всё же существуют. К тому же, реализация данной проверки не работает в Windows (особенности PHP)
Собственно CAPTCHA оказалась очень эффективной — все «слишком умные» спамботы срезались именно на ней. К сожалению, при отключенных изображениях или использовании консольных браузеров она бесполезна. А если роль спам-бота играет человек, то она вообще никак помочь не сможет. Увы.

Что получилось в итоге: остался переработанный метод изящного отсеивания спама. Его эффективность на данный момент я оцениваю в 99%: эту защиту обошла всего лишь парочка ботов. Я за ними очень пристально наблюдаю и надеюсь, что смогу найти простую управу и на них.

Бета-версию плагина SJ CAPTCHA Lite для WordPress на свой страх и риск можно скачать отсюда.

Плагин переехал жить сюда.

DomainKeys и DKIM с Postfix в Ubuntu Linux

Vladimir — Fri, 29 Aug 2008 23:03:26 +0000

Подписываем и проверяем почту при помощи DomainKeys и DKIM в Postfix

Давным-давно настроив у себя SPF, я собирался поразбираться с DomainKeys и DomainKeys Identified Mail (DKIM), но, как часто случается, банально не хватило времени. Но наконец-то нашлась свободная минутка (пришлось знакомиться с ними по долгу работы).

В данной статье я расскажу о том, как настроить DK/DKIM для совместной работы с Postfix в Debian/Ubuntu Linux.

Предполагается, что Postfix уже неастроен и работает; если это не так, то очень рекомендую к прочтению этот замечательный мануал.

Прежде всего нужно установить dk-filter и dkim-filter:

sudo apt-get install dk-filter dkim-filter

Обращаю внимание, что с большой вероятностью при установке пакета dkim-filter dpkg выдаст ошибку о невозможности запуска демона dkim-filter. Это нормально, ибо демон нужно сначала настроить.

Начнём с генерации ключей. Для этого воспользуемся утилитой dkim-genkey:

dkim-genkey -d example.com -s mail

Результатом работы утилиты будут два файла: mail.txt (открытый ключ) и mail.private (закрытый ключ).

В файле mail.txt будет что-то вроде этого:

mail._domainkey IN TXT "v=DKIM1; g=*; k=rsa; p=MIG...AQAB"

Эту запись нужно поместить в файл зоны почтового сервера и перезапустить сервер DNS. Также рекомендую добавить в файл зоны информацию об Author Signing Practises (ASP) — практики подписывания сообщений. Не буду на этом останавливаться, кому интересно — смотрите сюда.

Переходим к mail.private. Лично я храню «почтовые ключи» в каталоге /etc/mail:

sudo mkdir -p /etc/mail/example.com
sudo mv -f mail.private /etc/mail/example.com/mail

При необходимости генерацию ключей нужно произвести для других доменов.

Теперь, когда у нас есть открытый и закрытый ключи, можно с чистой совестью приступать к конфигурированию dkim-filter. Его файл конфигурации находится в /etc/dkim-filter.conf

sudo nano /etc/dkim-filter.conf

Я использую следующую конфигурацию:

# Запись сообщений в syslog
Syslog yes

# Всегда добавлять заголовок Authentication-Results
AlwaysAddARHeader yes

# Файл с перечнем доменов, для которых осуществляется
# подписывание исходящих сообщений
Domain /etc/dkim.domains

# Файл с перечнем закрытых ключей
KeyList /etc/dkim.keylist

# Не перезапускаться при ошибках
AutoRestart no

# Режим работы: подпись и проверка
Mode sv

# Подписывать сообщения из поддоменов
# доменов, указанных в Domains
SubDomains yes

# Отклонять письма с неверной подписью
On-BadSignature reject

Файл /etc/dkim.domains имеет следующий вид:

example.com
example.net
# По домену на строку

Файл /etc/dkim.keylist имеет следующий вид:

# Отправитель:Подписывающий домен:Путь к закрытому ключу
*example.com:example.com:/etc/mail/example.com/mail
*example.net:example.net:/etc/mail/example.net/mail

Обращаю внимание, что имя файла ключа (mail) должно совпадать с селектором ключа в TXT-записи DKIM домена (mail._domainkey).

После этого запускаем dkim-filter:

/etc/init.d/dkim-filter start

По умолчанию он будет прослушивать порт 8891 на localhost.

Теперь переходим к dk-filter. Будем использовать те же самые ключи (а смысл генерировать новые?).

Начнём с редактирования файла зоны: в него нужно добавить строку (политику подписи сообщений):

_domainkey IN TXT "o=~"

или

_domainkey IN TXT "o=-"

В первом варианте мы сообщаем, что почтовые сообщения могут быть подписаны (а могут и не быть подписаны); во втором — что все сообщения, исходящие из данного домена, должны быть подписаны.

После изменения файла зоны (не забываем обновить serial зоны) DNS-сервер необходимо перезапустить.

Переходим к файлу /etc/default/dk-filter:

sudo nano /etc/default/dk-filter

У меня этот файл имеет следующий вид:

DAEMON_OPTS="-l"
DAEMON_OPTS="$DAEMON_OPTS -k -d /etc/dkim.domains -s /etc/dk.keylist -D -h -S mail"
SOCKET="inet:8892@localhost"

А файл /etc/dk.keylist выглядит так:

# Подписывающий домен:Путь к закрытому ключу
example.com:/etc/mail/example.com/mail
example.net:/etc/mail/example.net/mail

Перезапускаем dk-filter:

/etc/init.d/dk-filter restart

Наконец, переходим к конфигурации Postfix. Дописываем в /etc/postfix/main.cf следующие строки:

milter_default_action = accept
milter_protocol = 2
smtpd_milters =
inet:localhost:8891,
inet:localhost:8892
non_smtpd_milters =
inet:localhost:8891,
inet:localhost:8892

После чего перезагружаем Postfix:

/etc/init.d/postfix reload

Перед тестированием DK/DKIM, возможно, придётся подождать окончания распространения изменений в DNS-записях.

Самый простой способ тестирования — отправка произвольного сообщения на адрес autorespond+dk@dk.elandsys.com (для тестирования DomainKeys) или autorespond+dkim@dk.elandsys.com (для тестирования DKIM).

Пример успешного прохождения проверок DK/DKIM:

Authentication-Results: ns1.qubic.net; sender-id=pass header.from=vladimir@internetnetworkmarketer.org.ua; spf=pass smtp.mfrom=vladimir@internetnetworkmarketer.org.ua
Authentication-Results: ns1.qubic.net; domainkeys=pass header.from=vladimir@internetnetworkmarketer.org.ua
Authentication-Results: ns1.qubic.net; dkim=pass (1024-bit key)
header.i=@internetnetworkmarketer.org.ua; dkim-adsp=none

В примере выше я поменял адреса (на горе спамерам); те, кто рискнёт отправить письмо на internetnetworkmarketer.org.ua, рискуют попасть в чёрный список UCEPROTECT Level 1

Рекомендую к прочтению:

Sendmail DomainKeys;
Sendmail DKIM.

Привет спамерам!

Vladimir — Wed, 21 May 2008 09:16:59 +0000

Жду ответных действий :-)

Внимание всем спамерам!

Теперь ваша жизнь на моём блоге еще больше усложнилась — благодаря тому спаму, который вы упорно шлете в течение вот уже трех месяцев, я собрал превосходную статистику. И написал плагин, который будет с вами бороться… Если и дальше никаких проблем не будет, то, возможно, можно будет смело отключить премодерацию комментариев. Вот так!

PS: это всё благодаря одному очень замечательному плагину. Спам не пройдёт!